【案例】“携程漏洞门”事件之警示经典案例文库宣讲家

【百姓心声】

【事件介绍】

亲贝“乌云”笼罩携程被曝泄露用户支付信息

继如家等连锁酒店被曝出泄露客人信息后，又一家大型企业被指泄密客户信息。3月23日获悉，携程(CTRP.NASDAQ)在22日被国内安全漏洞监测平台“乌云网”披露：携程旅行网支付日志存在漏洞，用户银行卡信息可被黑客任意读取。携程23日坦承漏洞的确存在，其已进行修补，并已通知存在潜在风险的93名用户更换信用卡。

3月22日晚间，携程被一片“乌云”笼罩。当日，乌云漏洞平台披露：由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

乌云平台指出，携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露，其中包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。

携程方面承认漏洞存在。携程向表示，其已展开技术排查，并在2小时内修复了这个漏洞。经查，携程的技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。

携程表示，经排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。3月22日晚至23工位管理系统日，携程已通知存在潜在风险的93名用户更换信用卡，银行方面也会尽快协助用户办理换卡手续。经各银行反馈，截至目前，没有发生携程用户信用卡被盗刷的情况。

携程承诺，未来如果因安全漏洞引起用户损失，携程将承担全部责任并给予赔付。携程同时表示，将加固系统信息安全。

但有消费者担心，假如发生信用卡损失，如何证明与携程有关？

微博名为“原子小金刚君”的网友指出，携程的声明从法律和逻辑上看起来没问题，但假如

用户被盗刷了，如何先证明信息是从携程泄露的呢？

主动披露携程漏洞问题的乌云漏洞平台，是一个位于厂商和安全研究者之间的安全问题反馈平台。该平台上有不少“白帽子”，即具有专业技术者，他们有时也会以“骇客”身份进行漏洞检查，但“白帽子”不会恶意牟利，而是善意提醒发生漏洞的企业进行修补。此前乌云曾发现如家等知名连锁酒店有泄露客户信息的问题，并对此进行了披露。

去年10本地导航月，乌云平台披露，自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司，因为安全漏洞问题，使与其有合作关系的大批酒店的在网上泄露。数天后，一个名为“2000w开房数据”的文件出现在网上，其中包含2000万条在酒店开房的个人信息，容量达1.7G。

“现在各大OTA、购物网站等都在力拓无线端，近期打得不可开交的在线旅游和购物价格战都是为了争夺无线端客户。为了抢个红包或获得旅游产品返现等，很多年轻客户捆绑银行卡，但是这种便捷的在线支付背后或许蕴藏着很大的危机。如何监管这些因为网络化经济而带来的支付风险是个十分严峻的问题。”华美首席知识专家赵焕焱分析。

“携程用户信息漏洞门”追踪

从3月22焊接卡盘日开始“发酵”的携程用户信息“漏洞门”于25日告一段落。携程表示，将对支付流程进行整改，取消对用户信用卡CVV信息的询问和登记，不再保留任何用户的CVV记录。

CVV码是由卡号、有效期和服务约束代码生成3位或4位数字。目前很多网站采用无需提供密码的信用卡“离线交易”，即仅凭卡号、CVV码就可完成支付。

取消CVV信息登记

据了解，携程的整改包括，公司客服将取消对用户信用卡CVV信息的询问和登记。同时，严格遵守相关政府主管部门规定，不再保留任何用户的CVV记录。在优化和完善用户支付流程的同时，携程会邀请国内最顶尖的网络系统安全专家来携程“坐堂”，定期“会诊”携程的支付系统以升级加密措施。

此外，携程还表示，已启动PCI（国际支付卡行业数据安全标准）认证和银联认证程序，以期更符合国内外安全规范。

上述整改来自于22日爆发的携程“漏洞门”。3月22日，乌云漏洞平台发布报告称，携程系统存技术漏洞，黑客可从中获取用户个人信息、银行卡号、CVV等信息。

随后，携程回应，已进行安全排查和漏洞修复，存在潜在风险的用户共93人，客服部门已经进行通知和协助换卡并赔偿。这一事件引发携程股价周一跌3.44%，收于每股47.79美元。

新型避孕套

国内网站保留CVV信息现象普遍

但是，漏洞门并未因93人的范围确定而结束，而是引发了广大用户对携程支付流程、安全性以及技术水平的质疑。网友的疑问主要集中在“为什么要存CVV信号调理模块”。

此前，携程表示，按照相关银行的支付规定，部分银行用户交易时，需提交CVV信息。在交易完成后，会立即删除。未扣款成功的交易，也将在7天内删除CVV信息。携程称，这样的做法符合国际普遍认可的PCI-DSS（第三方支付行业数据安全标准）规定。

据记者了解，不仅携程，国内许多需要支付过程的网站都会临时保存用户CVV等支付信息。

另外，记者24日接到爆料并核实到，北京汉唐科讯环保科技公司发布内部邮件，要求公司人员停用携程进行出差预订。携程相关负责人对记者表示，经查，该公司并不是携程的商

旅客户，可能是散客进行的预订。

携程“漏洞门”再次敲响互联网个人信息安全警钟

一时之间，携程旅行网陷入“支付漏洞”风波，被推向了舆论的风口浪尖，记录支付行为数据等行为广受质疑。主要集中在：其一，携程存储信息“犯规”。据中国银联风险管理委员会已发布的《银联卡收单机构账户信息安全管理标准》规定，收单机构系统只能存储用于交易清分、差错处理所必须的最基本账户信息。而此次曝光的携程却保存了用户相关机密信息，且没有安全存储。其二，携程技术人员在操作中存在工作疏忽。业内人士指出，“携程是行业巨头，又是上市公司，居然也在安全问题上犯这样的错误，只能说没有把用户的利益放在第一位，同时也反映出当前互联网界整体安全意识淡薄的现状。”

除了此次携程“漏洞门”事件，近年来互联网安全事件频发。今年央视3.15晚会就曝光了智能手机预装恶意应用黑幕，偷偷上传用户隐私，让用户对手机安全备感担忧。还有媒体联合调查显示，有68%的受访者表示个人信息曾被泄露过，只有8%的被调查者表示个人信息没有被泄露过，还有24%的人根本不知道自己的信息是否被泄露过。

本文发布于:2024-09-22 00:59:58，感谢您对本站的认可！

本文链接：https://www.17tex.com/tex/2/272808.html

上一篇：小程序安全测试指南

下一篇：如何利用信息化提升安全管理