乌云漏洞平台：携程系统致银行卡信息等泄露

来源:中证网 2014-03-23 16:51 http://www.mnw.cn/ 海峡都市报电子版

携程系统致银行卡信息等泄露1
资料图

　　昨日，乌云漏洞平台发布消息称，携程系统存技术漏洞，可导致用户个人信息、银行卡信息等泄露。对此，携程当日晚间对新京报表示，已进行技术排查和修复。如用户因此产生损失，携程将赔偿。

　　乌云：

　　银行卡信息或被黑客读取

　　据乌云平台称，携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。乌云方面的报告称，漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字)，上述信息有可能被黑客所读取。

　　据了解，乌云是一个位于厂商和安全研究者之间的安全问题反馈平台，此前多次发布国内企业信息系统的技术漏洞，推动企业进行漏洞修复。

　　携程：

　　尚未发现客户信息泄露及损失

　　对此，携程方面昨日晚间表示，在得知该消息后，公司即展开了技术排查并在消息发布两个小时内修复问题。携程称，对于乌云平台发现漏洞信息表示感谢，并将对于提供漏洞信息者给予奖励。对于此次漏洞事件，如有新进展，携程将持续通报。

　　同时，携程表示，可能受影响的为3月21日与3月22日的部分交易客户，目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的核查工作，如果有用户因该漏洞造成财产损失，携程将赔偿损失。

　　影响：

　　用户被建议及时更换信用卡

　　携程旅行网作为在线旅游市场份额最大的服务商之一，上述漏洞的影响范围也较为庞大。对此，新浪微博认证为“MediaV CTO，原Google技术总监”的网友“胡宁”说，用户信用卡信息泄露，并非犯低级技术错误这么简单。敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标，这都是常识。她认为，携程应该做的是立即提醒被影响用户换卡、道歉并赔偿用户因此导致的任何损失。

　　另有分析认为，存储用户CVV是不合理的，此次漏洞问题将对携程的品牌有所影响。晚间，部分新浪微博网友就表示，将因此与携程“告别”，也有网友建议，使用信用卡在携程上进行过支付的消费者，应该立刻更换信用卡。