浏览: 来源:新华网 日期:2014-03-24 22:56
近日,漏洞报告平台乌云网发布公告指出,携程旅行网的安全支付日志可下载,其中有大量用户银行卡信息,包括持卡人姓名、身份证号、银行卡号、CVV码等,均有可能被黑客读取。这一消息曝出后,随即引发消费者对众多电商网站上保存的银行卡信息安全性的担忧。
3月22日,漏洞报告平台乌云网连续披露了两个携程网安全漏洞。漏洞发现者称,由于携程开启了用户支付服务接口的调试功能,导致携程安全支付日志可被任意读取,日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。
在该漏洞被曝出后,部分携程用户表示对信用卡做了挂失处理,一些用户则称直接选择更换卡片。对此,携程方面表示,漏洞共涉及93名存在潜在风险的用户,目前相关数据已全部删除,公司客服也开始通知用户更换信用卡,并将负责全部损失费用。
据一名银行业内人士介绍,所谓的CVV码,是指印在信用卡卡片上的一组检查码,它是进行网络和电话交易时的安全保障,属于高度机密的用户信息。
“在离线交易模式下,只要掌握信用卡卡号、有效期、卡背上的3位CVV安全码等便可以完成交易,整个消费过程中不需要通过任何密码认证。”上述人士表示,CVV码一旦泄露,会给用户的资金安全带来很大的盗刷风险。
追访存储普通支付信息泄密风险并不大
如今电子消费越来越多,大家经常会在各种电商网站绑定信用卡或银行卡以方便下次使用,这其中是否也存在泄密风险?
记者上午在淘宝、易迅、苏宁易购三家电商进行体验发现,这些电商网站保存用户的支付信息之前,都会获得用户授权,且在保存支付信息的页面,卡片会以“常用卡”为名称显示,具体显示内容包括银行卡的后四位数及卡片归属行,但并未出现CVV码。
某电商网站负责人告诉记者,按照中国银联的规定,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期,因此正常的支付信息储存并不违规。
“携程在日志中存储的CVV码等信息,超过银联的允许范围,因此出现违规。”该负责人表示,携程出现信用卡信息泄露,主要是由于该网站将用于处理用户支付的服务接口开启了调试功能,“这使得所有向银行验证持卡所有者接口传输的数据包,均直接保存在本地服务器。”
上述负责人表示,目前大多数电商都选择将支付信息保存在本地服务器,且会对支付日志等信息做定期的清理,“在网站上正常储存支付信息,只是用于下次消费时方便支付,通常来说不会引发信息泄露问题。”
3
标签:信用卡CVV码分享到:
网友评论
版权所有: 粤ICP备13072808号 本站内容,未经许可,均不得转载。