安全出漏洞携程遭部分用户停用 股价一度暴跌
2014年03月25日 10:05
来源:新京报
3月22日晚间,乌云漏洞平台发布报告称,携程系统存技术漏洞,黑客可从中获取用户个人信息、银行卡号等信息。携程未主动保存用户CVV码,相关信息的加密强度足以抵御民间的解密尝试。
原标题:安全出漏洞携程遭部分用户停用 股价一度暴跌
3月22日晚间,乌云漏洞平台发布报告称,携程系统存技术漏洞,黑客可从中获取用户个人信息、银行卡号等信息。随后,携程承认了漏洞的存在。
受漏洞门事件影响,携程股价昨日盘前一度跌近10%。
“携程对用户信息安全没诚意,趁早换。”一位紧急更换了信用卡的用户表示。一些公司也开始停止使用携程进行出差预订。
“携程未通过PCI DSS认证,不安全。”一些专业技术人员表示。
携程“漏洞门”到底是如何发生的?携程犯了哪些错?携程是否违法违规了?
1携程违法违规保存了用户信用卡CVV码?
携程未主动保存用户CVV码,相关信息的加密强度足以抵御民间的解密尝试。
3月22日18时许,乌云漏洞平台发布消息称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
乌云报告称,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),有可能被黑客所读取。
我国《银联卡收单机构账户信息安全管理标准》规定,“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”
携程表示,已在22日当天进行技术排查,并在报告发布后的两小时内修复了这个漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
对此,国内某大型在线旅游服务商技术工程师告诉新京报记者,各个互联网公司在处理用户的交易时,都需要用户提交个人支付信息,但需要对信息加密以保证安全。存有这些信息的交易日志,会短期停留于公司系统中,在处理完相关交易后,系统会删除这些信息。如果开发人员需要调取测试等,他们看到的数据也是加密过的,并不是直接看到用户姓名、卡号、密码等。
中国黑客教父、COG信息安全组织创建人龚蔚对新京报记者表示,从漏洞报告来看,携程技术人员的疏忽是毋庸置疑的,但携程并非主动保存银行卡号等用户支付数据。
龚蔚表示,携程此次的漏洞中,信用卡号、信用卡有效期、信用卡CVV三位验证码是经过AES加密后存储在安全日志中的。在加密密钥没有对外泄露的情况下,AES的加密强度足以抵御来自民间的解密尝试。
MediaV CTO,原谷歌技术总监胡宁也认为,携程犯的错在于,敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这些都是常识。
相关新闻:
网罗天下
频道推荐
智能推荐
图片新闻
视频
-
滕醉汉医院耍酒疯 对医生大打出手
播放数:1133929
-
西汉海昏侯墓出土大量竹简木牍 填史料空缺
播放数:4135875
-
电话诈骗44万 运营商被判赔偿
播放数:2845975
-
被击落战机残骸画面首度公布
播放数:535774