攜程被曝支付漏洞 違規(guī)存用戶銀行卡信息遭質(zhì)疑

安全專家：被記錄過CVV代碼的用戶都必須換卡

攜程在聲明中表示，“截至23日22:00，沒有接到攜程換卡通知的客戶，個人信息均是安全的，無需擔心。”攜程表示，目前有93人賬戶存在安全風險，并承諾未來如果因安全漏洞引起用戶損失，攜程將承擔全部責任并給與賠償。

但是這份聲明或并沒有打消用戶的擔心，不少攜程用戶在微博表示“必須換卡”。據(jù)了解，作為國內(nèi)在線旅游市場份額最大服務商，攜程日均酒店預訂、票務預訂等業(yè)務量以十萬計。不少網(wǎng)友表示，這樣大規(guī)模的一家企業(yè)，即便是如攜程所表示僅21日、22日的部分交易客戶存風險，難道僅僅是93位嗎？

另一方面，怎么界定信用卡被盜刷同攜程漏洞有關也是一個問題。網(wǎng)友@舞劇3D：攜程所謂賠付的承諾根本不可信，因為你根本無法舉證信息泄露與攜程有關。還有網(wǎng)友指出，即便現(xiàn)在信用卡沒有被盜刷，黑客還是可能把泄露的信息保存起來靜默一段時間再動手，而到時被盜刷的原因也很難判斷。“如果信用卡被用此種方式盜刷，維權也很困難，因為銀行會認為是本人持卡在執(zhí)行這些操作。”李鐵軍表示。

有業(yè)內(nèi)人士指出，從目前來看，最為保險的做法是“換卡”。但是哪些用戶有換卡的必要呢？是否攜程所有用戶都必須換卡？“從目前攜程和烏云披露的信息中并不能確定是否所有攜程用戶信息都被泄露，但是只要被記錄過CVV的用戶就必須更換信用卡。”李鐵軍表示。

攜程安全隱患可能并未根本解除

攜程在公告中稱，攜程已通知存在潛在風險的93名用戶更換信用卡，經(jīng)銀行反饋，目前并沒有發(fā)生攜程用戶寫用卡被盜刷的情況。但事情似乎并不這么簡單。

李鐵軍分析稱，這次的事件并沒有根本上解決風險的可能，因為從目前來看攜程違反了銀聯(lián)此前禁止記錄CVV的規(guī)定。“結合此前攜程支付方面受到的安全質(zhì)疑，攜程在之前或還存在記錄用戶CVV的嫌疑。”

據(jù)多家媒體報道，此前已有攜程用戶對于攜程支付安全提出質(zhì)疑，攜程回應稱攜程采用的信用卡支付方式符合國際慣例，且公司內(nèi)部有足夠的風險把控能力。微博實名認證為廣西易搜科技有限公司CEO的嚴茂軍昨日在微博上表示，“早在2月25日就致電過攜程我綁定攜程的幾張信用卡被盜刷十幾筆外幣的事件，當時他們回復系統(tǒng)安全正常。”

昨日，羊城晚報援引安全人士表示，“但從目前情況看，攜程的支付系統(tǒng)的確存在很多不確定性，風險程度很高。除了黑客盜取信息，公司內(nèi)部對用戶信息管理情況也令人擔憂。”

雖然不少攜程的用戶在看到消息之后，已經(jīng)連夜向銀行申請取消信用卡。但在奇虎360首席隱私官譚曉生看來，從已知信息來說，仍不能準確斷定是否已經(jīng)有大規(guī)模泄露發(fā)生，真正的情況只有當事企業(yè)自己清楚。(中新網(wǎng)IT頻道)