近日,国内著名在线票务服务公司携程旅行网(以下简称携程)被乌云爆出信息安全漏洞,可能导致多项个人隐私信息泄露,引发携程用户的巨大恐慌和大众对信息安全的再次强烈关注。
有业内人士告诉记者,“在信息爆炸和大数据时代,信息安全原罪或许会成为一枚定时炸弹,不断引爆大众对个人信息安全深重的忧虑,引发对企业道德责任感的拷问。”
中国经济网记者就此采访了携程公共事业部的李先生,李先生称携程承诺“将在交易完成后立即删除用户的敏感信息,不再保存”,至于何时能把已存的用户隐私信息删除完毕,暂时还不能确定。
“乌云”压携程 携程“诚”欲摧
3月22日,著名漏洞报告平台乌云连续披露携程的两个安全漏洞,漏洞发现者称,由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意骇客读取。该发现者还列出了可能泄露的用户信息,包括“持卡人姓名、身份证、银行卡类别、银行卡卡号、银行卡CVV码、银行卡6位Bin”。得知消息后,许多携程用户纷纷准备换卡。
据悉,乌云曾因2011年连续披露国内多个著名网站的用户账号密码外泄事件而声名大噪。乌云在其官方介绍中的一句誓言或许表明了其心迹:“我们坚信它是汇聚互联网安全研究者力量的,将带来暴风雨清洗一切的乌云。”
这样的一团“乌云”,3月22日带来了一场轰动网络的暴风雨,浇透了携程。携程树立“诚信”形象的大厦在一些用户的心中轰然倒塌,“携程在手,说走就走”的广告语也被网友调侃为“携程在手,密码说走就走”。
对于深陷“漏洞门”的携程来说,这次所面对的确是一场暴风雨。
携程多次发声明 难解部分用户疑问
3月22日晚9点,携程在其官方微博发表了第一条声明:“我相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现。”
面对某用户“被盗刷的话,你们负责吗”的疑问,携程回复:“用户因为该漏洞造成的财产损失,携程将给予赔偿。”但有用户提示,“知道如何赔付吗?用户必须举证:1、交易非本人发起;2、证明盗用者是从携程而非其他地方获取的交易敏感信息”。
在巨大的舆论压力下,携程再度发表声明:“经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。携程客服于今日通知相关用户更换信用卡”,而且“经各银行反馈,截至目前,没有发生携程用户信用卡被盗刷的情况”。
对此,也有用户连发三问:“请问携程如何判断只有漏洞发现人下载了?如何判断他确实把数据删除了?如何判断他删除后不能再恢复了?”这些问题,恐怕只有携程能够回答。
保存CVV信息疑违规 携程承认做法不对
用户集中提出了一个重要的问题——携程为什么保存用户的CVV信息?
所谓CVV信息,是指银行信用卡背后的三位验证码。在“离线交易”环节,用户只需提供卡号和CVV信息即可完成支付。因此可以说,CVV信息掌握着卡的交易授权,属于高度机密的用户隐私信息。
有用户指出,“CVV码只能用于交易时验证,不允许商家交易后存储。这个设计就是为了在数据不幸泄露时避免对持卡用户造成经济损失。所以携程为什么要存这个信息呢?”
对于这些疑问,携程的工作人员给记者做了解释,“由于旅游行业的特殊性,以机票和酒店为代表的旅游产品,价格会随着库存、预订时间实时变化。对于在线旅游网站而言,将用户的姓名、身份证、信用卡号、CVV码等储存起来,预订反应机制会更加灵活,能优化消费者体验,这或许可称为是该行业的一种潜规则。”不过,该工作人员也承认,“这种做法确实是错误的。”
经记者调查了解,根据中国银联风险管理委员会于2008年发布的《银联卡收单机构账户信息安全管理标准》,各收单机构系统只能存储用于交易清分、差错处理所必须的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。
显然,携程保存的用户信息已经超过了该标准的允许范围,违反了上述标准的规定。有携程用户如此描述这种行为,“这叫好比我把钥匙给你,请你帮忙去我家里取个东西,回来你却偷着配了把钥匙放你自己兜里。”
讽刺的是,仅仅两个月前,携程在面对某媒体对其支付安全性的质疑时,明确回复“携程网的后台不会记录用户的支付信息”。
承诺不再保存CVV 信息安全警钟长鸣
面对汹涌袭来的舆论大潮,携程在其官网发表最新声明称,将会严格按照监管部门的要求,对支付流程进行整改,取消对用户CVV信息的询问和登记,不再保存用户的CVV信息,以前保存的CVV信息正在删除。
3月27日,在记者问到“何时能将已存的CVV信息完全删除”时,携程的工作人员表示暂时还不能确定。
目前,携程正采取一系列补救措施,比如启动CFCA和PCI的认证程序等,试图挽回因此失去的市场和信誉。
针对此事,有专家指出,“移动互联网应用的迅猛发展将助推在线旅游服务的“蛋糕”越做越大,但其中隐含的问题也会随之浮出水面。携程此次泄露信息事件反映出在线支付行业不仅要加强行业自律,也需要监管部门强力介入,通过出台明文法规,将在线支付纳入到行业监管的大局之下。”
至此,从上周六开始“发酵”的携程“漏洞门”,似乎将告一段落。然而,有业内人士指出,“携程是行业巨头,又是上市公司,居然也在安全问题上犯这样的错误,只能说没有把用户的利益放在第一位,同时也反映出当前互联网界整体安全意识淡薄的现状。”
另有业内人士提醒,“携程如果处理不好此事,面对的不仅仅是短期内企业形象受损和信任度下降,而且可能面临用户的大量流失、集体赔偿诉讼乃至有关机构的巨额罚金。”可以肯定的是,此次事件会对其它在线支付平台起到警示作用。
