2024年10月19日 星期六
3月22日,漏洞報告平臺烏雲網指出攜程旅行網存技術漏洞,用戶個人資訊、銀行卡資訊可能會遭洩露。
3月22日烏雲漏洞平臺發佈消息稱,攜程網用戶支付資訊出現漏洞,漏洞洩露的資訊包括用戶的姓名、身份證號碼、銀行卡卡號、銀行卡CVV碼等。
攜程回應已修復該漏洞,經排查93名用戶的支付資訊存在潛在風險,已通知這些用戶更換信用卡。經核實,目前沒有出現用戶信用卡被盜刷的情況。
從22日開始“發酵”的攜程用戶資訊“漏洞門”告一段落。攜程表示,將對支付流程進行整改,取消對用戶信用卡CVV資訊的詢問和登記,不再保留任何用戶的CVV記錄。 [詳細]
攜程網漏洞洩露用戶支付消息,本來是個網際網路公司的技術與安全事件,但因為事發時機湊巧,坊間有論者就將之與網際網路金融相聯繫,稱“攜程漏洞門使網際網路金融再添曲折”,而且,這種觀點或許還真能一語中的。 [詳細]
1999年成立的線上旅遊網站,主要經營酒店預訂、機票預訂、度假預訂等業務,2003年在美國上市。
攜程旅行網創始人之一,1969年出生於上海,博士學歷,曾任美國Oracle公司中國諮詢總監。
3月22日烏雲漏洞平臺發佈消息稱,攜程將用於處理用戶支付的服務介面開啟了調試功能,使部分向銀行驗證持卡所有者介面傳輸的數據包直接保存在本地伺服器,有可能被駭客所讀取。對此,攜程回應稱,已修復該漏洞。經核實,目前沒有出現用戶信用卡被盜刷的情況。 [詳細]
有網友指攜程避重就輕,對違規記錄CVV代碼的事情只字不提。北京明朝萬達科技有限公司董事長王志海微網志上表示:“攜程回復避重就輕,有漏洞能理解,資訊不加密也可只算不重視用戶隱私,重點是為什麼要違規記錄用戶信用卡的CVV代碼?這點必須正面答覆。” [詳細]
中國駭客教父、COG資訊安全組織創建人龔蔚表示,從漏洞報告來看,攜程技術人員的疏忽是毋庸置疑的,但攜程並非主動保存銀行卡號等用戶支付數據。攜程犯的錯在於,敏感資訊需加密存儲、線上開調試功能需慎重。[詳細]
在漏洞門之後,眾多網友和媒體質疑攜程,並沒有經過“PCI DSS”認證,意味著攜程不安全。通過審核並持續維護PCI DSS標準的合規,可以有效降低網站發生數據洩露的風險,保護支付數據的存儲和傳輸安全。 [詳細]
眾多網友表示準備換卡或者已經換卡。已經緊急換卡的攜程用戶高女士表示,這種低級錯誤説明攜程沒有或者內控機制無效,或者説攜程對於用戶的個人資訊安全完全沒有誠意,“不如趁早換卡同時‘換掉’攜程。” [詳細]
如果用戶資訊洩露,企業負有賠償責任。但是損失需要用戶出具證明。攜程表示,未來如果因安全漏洞引起用戶損失,攜程將承擔全部責任並給予賠付。但是損失需要用戶出具證明,這一點不太容易做到。[詳細]
據了解,烏雲是一個廠商和安全研究者之間的安全問題反饋平臺,此前多次發佈國內企業資訊系統的技術漏洞,包括CSDN、天涯、支付寶等。發報告是駭客並沒有商業目的,如果想利用漏洞,不會把報告發到烏雲上面。 [詳細]
國內大的廠商安全性都很高,但也有較小的廠商讓人擔心。龔蔚表示,國內大的廠商安全性都很高,但也有較小的廠商讓人擔心。現在應該做的,是加強對已有的資訊安全標準的落實,這方面的監管還是欠缺,不夠嚴格。 [詳細]
烏雲曝出的攜程支付漏洞事件讓不少人非常詫異:攜程為什麼要保存信用卡的CVV碼?記者調查發現,這跟旅遊産品預訂的特性有關。
為了優化消費者的體驗,對於線上旅遊網站而言,將消費者的姓名、身份證、信用卡號、CVV碼等儲存起來,在這種情況下預訂反應機制會更靈活,後臺系統訪問相關數據庫回轉機制的頻率比買實體商品要高。[詳細]
從技術上看,旅遊産品支付條件“更寬鬆”,預訂旅遊産品是不是比普通網購更不安全?一位資深技術人士告訴記者,事實上,包括第三方支付平臺也會將消費者的相關數據儲存起來。正規的網購平臺儲存數據後會進行加密,之後數據進入一個密封的管道中,只有和銀行對賬時,相關數據才會解密。[詳細]
作為消費者,在選擇購買支付網站、填寫個人資訊時一定要謹慎。“當提交含有身份證號、銀行卡號等核心個人資訊時,不要提交給不信任的網站。一般來説,知名的大網站技術相對成熟,不會出現駭客在網站中直接加入代碼,獲取用戶資訊的現象。而諸如小的代購網站,安全性就降低很多。”[詳細]
公開資訊顯示,到事發為止所有的調查和損失認定工作均由攜程網一方進行。業內分析人士坦言,目前國內還沒有相關立法對第三方支付機構獲取用戶資訊進行規範管理。[詳細]
| 2011年12月 | CSDN的安全系統遭到駭客攻擊,600萬用戶的登錄名、密碼及郵箱遭到泄漏。 |
| 2013年6月 | 漏洞報告平臺烏雲發佈的漏洞報告中披露,搜狗輸入法出現漏洞導致大量用戶敏感資訊洩露。 |
| 2013年10月 | 如家、七天等連鎖酒店被網曝有多達2000萬條客戶開房資訊遭洩露。 |
| 2013年10月 | 圓通速遞被曝其近百萬條快遞單個人資訊不僅可在網路上購買到,單號數據資訊還能24小時刷新。 |
| 2013年12月 | 春運期間新版中國鐵路客戶服務中心12306網站上線第一天,被發現存在漏洞。該漏洞洩露用戶資訊,可查詢登錄名、郵箱、姓名、身份證以及電話等隱私資訊。 | 2014年3月 | 漏洞報告平臺烏雲網公佈了“攜程安全支付日曆導致用戶銀行卡資訊洩露”的相關資訊,該資訊加密級別並不夠高,可以被駭客輕易獲取。 |
