携程银行卡信息泄露事件持续发酵,引发不少消费者对信用卡安全的担忧。携程官方回应称,“该漏洞是由于携程技术开发人员为了排查系统问题,留下了临时日志。由于疏忽,他们没有及时删除。目前,这些信息都已被删除。”泄露官方声明同时,携程在声明中指出,经携程调查,只有漏洞发现者进行了测试下载,内容包含极少量的加密卡号信息,共涉及93有潜在风险的携程用户。在声明中我们注意到,虽然携程对结果进行了补救,但并未对一些关键信息进行说明。为什么要保存CVV安全码?我们知道CVV安全码就相当于一个密码。一般情况下,在进入支付金额流程时,需要用户输入身份证号码、持卡人姓名、信用卡卡号以及信用卡背面的三位数CVV安全码。宣告成功,完全不用输入信用卡密码。因此,其作用和风险可想而知。但是携程保存了CVV码,不幸又泄露了。撇开漏洞本身不谈,但起码的安全意识是没有的。正如一位微博用户所说,“将CVV存储在交易网站上,相当于一个钟点工偷偷给你家分配钥匙。同时,他也知道你家的所有信息。而存储用户信用卡的CVV也会泄露,前者是企业的基本道德问题,后者是安全问题。有些信息是可以存储的,有些信息无论如何也存储不了。携程存了无论如何都不该存的CVV。需要输入CVV并存储CVV。理念。”因此,很多人对携程的回应并不满意。正如明朝万达董事长王志海所说,“携程的用户信用卡和信息泄露事件,携程的回应避重就轻,存在漏洞可以理解,信息没有加密,就是不注意用户隐私。违法行为?”所以,这里我们不仅要质疑携程的安全意识,还要质疑你们是不是违规了?我们知道携程是在美国纳斯达克上市的,PCIDSS规范大家应该很熟悉了,PCIDSS里面的要求是面向在日常运营中处理持卡人数据的公司和机构。具体来说,PCIDSS对在整个工作日处理持卡人数据的金融机构、商家和服务提供商提出了要求。PCIDSS包括以下列表:对安全管理、政策、程序、网络架构、软件设计和其他保护持卡人数据的措施的要求。貌似携程应用了多少PCIDSS?当它扩展到更多涉及支付行业的公司时,有多少公司将此规范应用于支付流程?事件还原:3月22日晚间,漏洞报告平台五云网在其官网发布了一条网络安全漏洞信息,指出携程的安全支付日志可以被遍历下载,导致泄露大量用户银行卡信息(包括持卡人姓名及身份证、银行卡号、卡CVV码、6位卡Bin)。此外,携程还被曝出某分站源码包可以直接下载(涉及数据库配置和支付接口信息)。漏洞描述:由于携程处理用户支付使用的安全支付服务器接口调试功能,导致用户支付记录以文本形式保存。同时,由于保存支付日志的服务器没有严格的基线安全配置,存在目录遍历漏洞,使得支付过程中的所有调试信息都可以被任何黑客读取。所谓遍历,通常是指沿着某条搜索路线,对树中的每个节点进行一次且仅一次访问。该漏洞被归类为“敏感信息泄露”,据称已导致大量携程用户泄露持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等信息。
