中国法制宣传网
 | 网站首页 | 本网动态 | 下载中心 | 图片中心 | 留言本 | 法治资讯 | 舆论监督 | 经济与法制 | 法讯论坛 | 社会娱乐 | 法治视点 | 法律大讲堂 | 法治杂谈 | 反腐前沿 | 法制教育 | 律师在线 | 法治周末 | 中国民声 | 法律法规 | 地方频道 | 浙江频道 | 重庆频道 | 河北频道 | 广西频道 | 信息广角 | 艺术长廊 | 李堂平专栏 | 
栏目更新推荐  
·燕郊爆燃事故现场救援基本结束:造…
·平顶山煤矿事故已致13人遇难 涉事煤…
·长春一公交车失控连撞十余车 公交公…
·习近平对河南安阳市凯信达商贸有限…
·陕西神木百吉矿业李家沟煤矿事故21…
·陕西府谷县普宇集团二煤矿非法生产…
·山东威海校车事故致5名韩国籍、6名…
·陕西府谷能东煤矿2017年1月再发矿难
点击TOP(10)  
·燕郊爆燃事故现场救援基本结束:造…
·平顶山煤矿事故已致13人遇难 涉事煤…
·长春一公交车失控连撞十余车 公交公…
·陕西神木百吉矿业李家沟煤矿事故21…
·陕西府谷县普宇集团二煤矿非法生产…
·山东威海校车事故致5名韩国籍、6名…
·陕西府谷能东煤矿2017年1月再发矿难
·官方:从严从快查处煤矿违规,若涉…
·内蒙古一辆大巴车与货车相撞致8人死…
·云南玉溪一矿山采石场发生山体滑坡…
法讯网【fxw.name】
图片文章  

燕郊爆燃事故现场救…

平顶山煤矿事故已致…

长春一公交车失控连…

陕西府谷县普宇集团…
 
您现在的位置: 法宣网-中国法治宣传网【原法讯网】 >> 经济与法制 >> 安全生产 >> 正文
携程漏洞门涉嫌违规难追责
文章来源:法治周末 法讯网作者:蔡长春 点击数:13390 更新时间:2014/4/2 文章录入:谈心    责任编辑:bjb  


法讯网【fxw.name】版权及免责声明:

1、凡本网未注明来源的作品,版权均属“法讯网”原创或首发,未经本网授权,任何单位及个人不得转载、摘编或以其它方式使用。确需使用本网作品的,请来函联系:chinafxw@qq.com。转载时必须注明“来源:法宣网”及作者:“XXX”。违反上述声明者,本网将追究其相关法律责任。
2、凡本网注明据载或讯“XXX(非法讯网)” 的作品,均转载自其它网络或媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
3、如因作品内容、版权和其它问题需要同本网联系的,请在30日内进行。联系方式:法讯网   E-mail:chinafxw@qq.com  fxwzbs@foxmail.com   QQ:350273444


  • 上一篇文章:

  • 下一篇文章:
  • 发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     
    关于〖携程漏洞门涉嫌违规难追责〗的最新评论:

        专家认为,携程存储用户敏感信息CVV码的行为,违背了银联的相关规定,但携程应承担何种责任却不明确,后续处罚也难以跟进

        法治周末记者 蔡长春            

           “乌云”压“程”,“程”欲摧。

           近日,国内漏洞研究机构乌云平台曝光称,携程旅行网(以下简称“携程”)存在信息安全漏洞,可能导致其信用卡用户的身份证、卡号、CVV码等多项个人隐私信息的泄露,一时间引发众多用户对携程安全体系的强烈质疑。

           据了解,所谓CVV码,即Card Verification Value,是印在信用卡上的一组验证码,通常是由卡号、有效期和服务约束代码生成的3位或4位数字。

           “CVV码是作为网络无卡交易时的一种验证码,一旦泄露出去将给持卡人带来很大的安全风险。”信用卡门户网站我爱卡网增值业务部总监董峥告诉法治周末记者。

           携程华北区公共事务部工作人员闫鑫在接受法治周末记者采访时表示,携程将在交易完成后删除客户的CVV信息,不再保存。以前保存的那些CVV信息,正在予以删除。

           携程此前也发布公告称:“我们将会按照监管部门的要求,尽快优化完善用户的支付流程,排查所有可能存在漏洞,邀请国内知名网络安全专家对携程系统进行会诊。同时,我们已经启动了CFCA和PCI的认证程序,以期更好地符合监管要求。”

           不过,携程CVV码安全漏洞事件所带来的魔咒似乎并没有因此得以完全解开,一系列相关的质疑仍在不断涌现——携程为何要存储用户的CVV码?这一做法是否合规?CVV码一旦泄露将给用户带来哪些损失?

           携程为何存储用户CVV码

           关于携程安全漏洞的报告,由网友猪猪侠发布在乌云平台上。

           该报告指出,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。

           同时因为保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意黑客读取。

           这些信息包括用户的持卡人姓名、持卡人身份证、所持银行卡类别(如招商银行信用卡等)、所持银行卡卡号、所持银行卡CVV码、所持银行卡6位Bin(用于验证支付信息的6位数字)。

           猪猪侠在微博回复法治周末记者采访时表示,目前其个人并不方便对该事件进行评论。

           携程发布公告称,携程在发现问题后立即展开技术排查,并在两小时内修复漏洞。

           携程在公告中表示,经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。

           在这个安全漏洞被曝光的同时,携程保存用户CVV码等重要个人信息的行为也渐渐浮出水面。

           闫鑫告诉法治周末记者,这些问题是由于携程工作人员的疏忽所致,并且是该员工的个人行为,安全日志未及时删除,所以后来才被乌云上的猪猪侠发现了这个漏洞。

           “从安全角度来讲,CVV码是没有必要去储存的,商家也不应该储存。”董峥告诉法治周末记者。

           既然如此,携程为什么要存储用户的CVV码呢?

           闫鑫告诉法治周末记者,CVV码其实就像银行密码一样,主要是公司(即携程)在和银行进行对接的时候需要用到它,如果没有CVV码就无法同银行进行支付业务。

           “作为旅游行业的公司,往往会在预订机票或者酒店的时候出现一个缓冲期,其间公司会和银行以及供应商去确认房间与机票是否真正已经预定上,在这个过程中就会存在信息缓存的现象。”闫鑫表示。

           此前一位携程的工作人员也曾公开表示,以预定机票和酒店为代表的旅游产品,其价格会随着库存、预订时间实时变化。对于在线旅游网站而言,将用户的姓名、身份证、信用卡号、CVV码等储存起来,预订反应机制会更加灵活,能优化消费者体验。

           携程该工作人员称,这或许是行业的一种潜规则。

           董峥告诉法治周末记者,这就属于无卡交易,用户将用于支付的信用卡卡号、发卡日期、有效期、CVV码等告知对方公司后,对方会在之后的消费过程中提示消费者继续使用留有相关信息的那张信用卡。

           “消费者确认该信用卡支付后,系统就会转向那张卡和它已经存储下来的CVV码,如此就启动了无卡支付流程。”董峥表示,“目前国家对于无卡交易的商户限定非常严格,无卡交易权很难拿到。”

           近日也有消息曝出,早在2009年以前,携程的服务器并不留存用户CVV码,用户每次购买机票或者预订酒店都需要输入CVV码;但2009年,携程CEO范敏为了简化操作流程和优化客户体验,最终决定在携程服务器上留存CVV码。

           不过这一说法目前尚未得到携程方面的确认。

           闫鑫告诉法治周末记者,携程以后一定会严格按照国家以及相关机构的规定,在客人支付完成后,立即将CVV等信息删除。

    [1] [2] [3]  下一页

    | 设为首页 | 加入收藏 | 联系站长 |合作报刊| 友情链接 |联系法宣网|法宣邮箱| 常用工具|工作机会| 版权申明|网站管理 |

     FXW.NAME 法宣网【原法讯网】,中国法制宣传网 | 中国纯公益性独立法制类网站

    Copyright 2008-2028 All Rights Reserved 法宣网【原法讯网】 版权所有 未经授权 禁止转载、复制或建立镜像

    您有任何意见和建议,请致函:chinafxw@qq.com 本网最佳浏览器为IE8屏幕分辨率为1280*768