携程网用户信用卡信息泄露事件 便捷和安全该如何取舍?
第二,携程的该安全漏洞究竟会影响多少用户?
携程官方称,此次受影响的主要为3月21日与3月22日的部分交易客户,93名潜在风险用户已被通知换卡,其余携程用户用卡安全不受影响。
乌云网联合创始人孟德告诉腾讯科技,携程该漏洞存在多久、何时出现以及期间是否受到过攻击造成用户损失乌云目前还不知情。
不过,由于对潜在风险的担忧,在微博、微信朋友圈等社交网络平台上,已经有诸多用户表示,其正在向银行申请更换信用卡。
易搜科技有限公司CEO严茂军在微博上透露,早在2月25日他曾致电携程其绑定携程的几张信用卡被盗刷十几笔外币的事件,并怀疑是携程漏洞造成的。
严茂军告诉腾讯科技,上个月他有2张跟携程做了绑定的双币信用卡被盗刷14笔(大概总共价值1万元),但携程官方表示在上周末发生的话才是这件事的受害者——严仍然认为自己也是漏洞受害者,但是没有办法证明。
“一直以来都有盗刷这个问题,而且也存在很多的泄漏途径,所以即使以后携程用户信用卡出现盗刷事件也很难确认是否与该漏洞有关。”孟德对此表示。
腾讯科技致电各大银行信号信用卡中心,都表示还没有收到携程官方公告通知具体情况和应对措施,招商银行和民生银行信用卡中心工作人员告诉腾讯科技,暂时不了解携程信用卡信息泄露相关的具体信息,但是客户如果担心私密信息被泄露,会冻结旧卡寄送新的卡片。
此外,还有业内人士表示,携程为了让自身服务达到“说走就走”的便捷,让用户在电话里跟客服说出信用卡有效期及CVV2码等关键信息,也蕴含不小的风险。当然这种情况不仅限于携程,许多便捷支付都存在类似的风险。
一位银联技术负责人告诉腾讯科技,目前支付主要有两类,包括订购类业务和普通互联网个人业务,其中订购类业务支付风险较高。
在进行互联网消费的时候,实际上不同的业务会对消费行为进行不同限制。一般互联网支付业务是需要用户多种验证的,比如会发送验证码短信,用户需要手工输入到页面上完成支付,又或者通过网页生成的动态密码完成。
但是对于携程这类订购类业务的要求比较宽松,因为其能够追踪最终受益者。比如说,用户购买了飞机票、火车票或者订酒店,在最终使用的时候仍然需要身份证件作为辅助验证手段,所以其在支付环节只需要信用卡的CVC码等信息就可以完成交易。
安全问题依然是行业普遍隐患
近几年,各种用户信息泄露事件依然层出不穷。
2012年的CSDN泄密事件,曾引起广泛反思,即网站不应该用明文存储用户密码信息,北京有关部门甚至还因此向CSDN网运营公司提出了具体整改要求,并做出行政警告处罚。
去年10月,乌云发布曾报告称,如家、汉庭等大批酒店的客户开房记录因被第三方存储和系统漏洞而泄露。报告中,乌云曝光了网上下载酒店客户信息的过程,成功下载的客户信息中完整记录了入住酒店旅客的身份证、入住时间、入住的房间号码等隐私信息。
随着移动互联网兴起,用户包括身份、银行财产等相关数据和互联网应用绑定越来越紧密,泄露风险和威胁越来越大。而企业为了提高用户操作和消费便利性,或者为了加快产品开发流程,往往忽略了安全性。
某互联网上市公司负责人告诉腾讯科技,不管是App还是Wap或Web,都只是产品的前端表现形式,所调用的数据源必然只有一个。新产品的上线流程一般是“开发机——内网测试机——发布员发布到外网”,每个环节都有QA测试,但在把控不严或追求速度的情况下,程序员会临时去外网修改产品,这么做非常危险,因为跳过了控制流程、跳过了发布员(跟产品开发不是一拨人),将失去对各环节和安全的控制点。
“现在便捷移动支付前端风险主要是手机中病毒被监听输入数据或者移动信号被劫持,这个风险相对而言是容易掌控的,最大最不易掌控的风险出在企业端口,是互联网级别的数据安全级别能否跟得上金融级别的数据安全的问题。”某企业技术高管认为。
已有0人发表了评论