对于携程此次漏洞事件,银联方面表示,“从目前披露的情况看,携程方面可能存在一些瑕疵”。
3月22日晚,乌云漏洞平台报告指出,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。“同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取”。
据该报告,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号、卡CVV码(卡号、有效期和服务约束代码生成的3位或4位数字)、卡6位Bin码(用于支付的6位数字)。
对此,携程及时回应称,这是在技术调试过程中出现了短时漏洞,携程在两小时内修复了这个漏洞;携程强调此次漏洞共涉及93名存在潜在风险的用户,客服已于今日(23日)通知相关用户更换信用卡;携程还承诺,未来如果因安全漏洞引起用户损失,将承担全部责任并给予赔付。
但是,该漏洞事件显示,携程将用户的姓名、身份证、银行卡号、卡CVV码、卡6位Bin码做了存储。
根据中国人民银行发布的《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。
此外,银联2008年出台的《银联卡收单机构账户信息安全管理标准》显示,银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素,并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。
“从目前披露的情况看,携程方面可能存在一些瑕疵”,银联风险管理专家王宇对此声称,我们一直在积极推动相关机构严格落实相关要求,商户及收单机构不能留存持卡人的敏感信息,同时也要采取多种措施提升交易环节的信息安全管理。(刘宝兴)
