欢庆网消息:携程旅行网(以下简称“携程”)今天宣布,将启动PCI(Payment Card Industry)和银联的认证程序,期待更好符合监管要求,并将不再保存客户的CVV信息。
从上周六开始“发酵”的携程用户信息“漏洞门”,携程试图将其告一段落。3月22日,乌云漏洞平台发布报告称,携程系统存技术漏洞,黑客可从中获取用户个人信息、银行卡号、CVV等信息。
该公司表示,将对支付流程进行整改,取消对用户信用卡CVV信息的询问和登记,不再保留任何用户的CVV记录。CVV码是由卡号、有效期和服务约束代码生成3位或4位数字。目前很多网站采用无需提供密码的信用卡“离线交易”,即仅凭卡号、CVV码就可完成支付。
在优化和完善用户支付流程的同时,携程还会邀请国内最顶尖的网络系统安全专家来携程“坐堂”,定期“会诊”携程的支付系统以升级加密措施。携程已建立了信用卡安全服务小组,将协助客户与银行沟通。未来如果因携程安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
上周末爆出的安全支付漏洞时间,导致携程旅游网(纳斯达克股票代码:CTRP。以下简称“携程”)股价下跌。周一开盘大幅低开3%,随后震荡走高,截至收盘,携程股价每股下跌1.7美元至47.79美元,跌幅达3.44%,市值61.85亿美元。
投行机构德意志银行(Deutsche Bank )在一份报告中指出,安全漏洞事件损害了携程的品牌和信誉度,且造成消费者对在线支付和个人隐私安全的担忧,这或许将给整个行业带来更加严格的监管。
中央财经大学银行研究中心主任郭田勇认为,携程泄露用户信息事件暴露出部分第三方支付机构风险管理存在隐患,建议有关部门尽快出台保护个人隐私的法律法规,同时对泄露客户信息的机构进行处罚,严把第三方支付的“安全阀”。
携程漏洞门事件,迄今所有调查和损失认定工作均由携程网一方进行,并未引入第三方监管机构。业内分析人士坦言,目前国内还没有相关立法对第三方支付机构获取用户信息进行规范管理。
“中国黑客教父”龚蔚在接受媒体采访时表示:携程此次漏洞门是由一些小漏洞构成的,单看每一个小漏洞都不严重,但联在一起就变成了“安全事故”。之所以说是小漏洞,龚蔚解释说是因为(网站存储)CVV信息是强加密的,即便是黑客也不一定能破解。黑客只有在加密码可破解、长期记录、漏洞没有修复这三个条件都具备时才可能盗取用户信息。
对于消费者,龚蔚建议在线支付时一定要小心,“含有身份证号、银行卡号、密码等核心个人信息,一定不要提交给不信任的网站。最好给银行卡设置网购限额、支付短信通知等安全等级保护,一旦银行卡被盗用,可以立刻发现,减少损失。”另外尽量使用虚拟身份,除非必要不要提交真实信息。”
