攜程被曝支付漏洞 違規(guī)存用戶銀行卡信息遭質(zhì)疑

中新網(wǎng)3月24日電(IT頻道吳濤)22日，烏云漏洞平臺發(fā)布消息稱，攜程旅行網(wǎng)支付日志存在漏洞，或?qū)е麓罅坑脩翥y行卡信息泄露。攜程隨后確認存在這一漏洞，并發(fā)聲明表示，有93名用戶存在安全風險。雖然攜程表示漏洞已經(jīng)修復，但這一安全事件仍引發(fā)諸多質(zhì)疑。有專家表示，攜程保存客戶銀行卡信息屬于違反銀聯(lián)的規(guī)定。

攜程存儲用戶銀行卡信息 被指違反銀聯(lián)規(guī)定

據(jù)了解，此次攜程漏洞可使包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin泄露。據(jù)了解，CVV即 Card Verification Value，是由卡號、有效期和服務(wù)約束代碼生成3位或4位數(shù)字，一般寫在卡片磁條2磁道用戶自定義數(shù)據(jù)區(qū)里面。無需密碼支付的方式也叫信用卡“離線交易”，僅憑卡號、CVV碼等信息即可完成支付。專家提醒，CVV安全碼相當于信用卡“第二密碼”，需妥善保管。

針對攜程此次漏洞，新浪微博認證為“MediaV CTO，原Google技術(shù)總監(jiān)”胡寧稱，用戶信用卡信息泄露，并非犯低級技術(shù)錯誤這么簡單，“敏感信息需加密存儲、線上開調(diào)試功能需慎重、系統(tǒng)日志要及時清理、服務(wù)器安全性要達標，這都是常識”。

金山毒霸安全專家李鐵軍接受中新網(wǎng)IT頻道采訪時稱，從目前攜程和烏云公布的資料來看，攜程用戶隱私的泄露過程還并不能完全肯定，但是結(jié)果造成的用戶安全風險是非常大的。“除了被盜刷的可能，了解用戶這些信息后還可以創(chuàng)建第三方支付賬號，綁定信用卡實現(xiàn)境外購物。”據(jù)了解，信用卡有一種支付功能為離線支付，這種支付方式只要知道了用戶的基本信息和CVV代碼后就可以實現(xiàn)支付。

據(jù)多家媒體報道，此次漏洞在于攜程記錄了用戶的CVV代碼，上海鼎力律師事務(wù)所孫建中律師表示，攜程保存客戶信息屬于違反銀聯(lián)的規(guī)定，從《消費者權(quán)益保護法》看，其技術(shù)手段未盡到保護消費者的義務(wù)。財新傳媒總編輯胡舒立也直接指出，攜程不是第三方支付機構(gòu)，無權(quán)保留銀行卡信息。

另一方面，PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標準)規(guī)定了不允許存儲CVV，但攜程支付頁面稱通過了PCI認證，同樣令人費解。