首頁 財經(jīng)資訊 銀行 保險 擔(dān)保 證券期貨 小額貸款 典當(dāng)拍賣 財富經(jīng) 理財案例
您當(dāng)前所在位置:晉江新聞網(wǎng)>>金融頻道>> 財經(jīng)資訊 >>正文

攜程漏洞門涉違規(guī)難追責(zé):新消法未規(guī)定如何處罰

m.thejeatles.com來源:中國經(jīng)濟(jì)網(wǎng)2014-04-02 10:06我來說兩句
  

  專家認(rèn)為,攜程存儲用戶敏感信息CVV碼的行為,違背了銀聯(lián)的相關(guān)規(guī)定,但攜程應(yīng)承擔(dān)何種責(zé)任卻不明確,后續(xù)處罰也難以跟進(jìn)

  “烏云”壓“程”,“程”欲摧。

  近日,國內(nèi)漏洞研究機(jī)構(gòu)烏云平臺曝光稱,攜程旅行網(wǎng)(以下簡稱“攜程”)存在信息安全漏洞,可能導(dǎo)致其信用卡用戶的身份證、卡號、CVV碼等多項(xiàng)個人隱私信息的泄露,一時間引發(fā)眾多用戶對攜程安全體系的強(qiáng)烈質(zhì)疑。

  據(jù)了解,所謂CVV碼,即Card Verification Value,是印在信用卡上的一組驗(yàn)證碼,通常是由卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字。

  “CVV碼是作為網(wǎng)絡(luò)無卡交易時的一種驗(yàn)證碼,一旦泄露出去將給持卡人帶來很大的安全風(fēng)險?!毙庞每ㄩT戶網(wǎng)站我愛卡網(wǎng)增值業(yè)務(wù)部總監(jiān)董崢告訴法治周末記者。

  攜程華北區(qū)公共事務(wù)部工作人員閆鑫在接受法治周末記者采訪時表示,攜程將在交易完成后刪除客戶的CVV信息,不再保存。以前保存的那些CVV信息,正在予以刪除。

  攜程此前也發(fā)布公告稱:“我們將會按照監(jiān)管部門的要求,盡快優(yōu)化完善用戶的支付流程,排查所有可能存在漏洞,邀請國內(nèi)知名網(wǎng)絡(luò)安全專家對攜程系統(tǒng)進(jìn)行會診。同時,我們已經(jīng)啟動了CFCA和PCI的認(rèn)證程序,以期更好地符合監(jiān)管要求。”

  不過,攜程CVV碼安全漏洞事件所帶來的魔咒似乎并沒有因此得以完全解開,一系列相關(guān)的質(zhì)疑仍在不斷涌現(xiàn)——攜程為何要存儲用戶的CVV碼?這一做法是否合規(guī)?CVV碼一旦泄露將給用戶帶來哪些損失?

  攜程為何存儲用戶CVV碼

  關(guān)于攜程安全漏洞的報告,由網(wǎng)友豬豬俠發(fā)布在烏云平臺上。

  該報告指出,攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能,使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。

  同時因?yàn)楸4嬷Ц度罩镜姆?wù)器未做嚴(yán)格的基線安全配置,存在目錄遍歷漏洞,導(dǎo)致所有支付過程中的調(diào)試信息可被任意黑客讀取。

  這些信息包括用戶的持卡人姓名、持卡人身份證、所持銀行卡類別(如招商銀行信用卡等)、所持銀行卡卡號、所持銀行卡CVV碼、所持銀行卡6位Bin(用于驗(yàn)證支付信息的6位數(shù)字)。

  豬豬俠在微博回復(fù)法治周末記者采訪時表示,目前其個人并不方便對該事件進(jìn)行評論。

  攜程發(fā)布公告稱,攜程在發(fā)現(xiàn)問題后立即展開技術(shù)排查,并在兩小時內(nèi)修復(fù)漏洞。

  攜程在公告中表示,經(jīng)攜程排查,僅漏洞發(fā)現(xiàn)人做了測試下載,內(nèi)容含有極少量加密卡號信息,共涉及93名存在潛在風(fēng)險的攜程用戶。

  在這個安全漏洞被曝光的同時,攜程保存用戶CVV碼等重要個人信息的行為也漸漸浮出水面。

  閆鑫告訴法治周末記者,這些問題是由于攜程工作人員的疏忽所致,并且是該員工的個人行為,安全日志未及時刪除,所以后來才被烏云上的豬豬俠發(fā)現(xiàn)了這個漏洞。

  “從安全角度來講,CVV碼是沒有必要去儲存的,商家也不應(yīng)該儲存?!倍瓖樃嬖V法治周末記者。

  既然如此,攜程為什么要存儲用戶的CVV碼呢?

  閆鑫告訴法治周末記者,CVV碼其實(shí)就像銀行密碼一樣,主要是公司(即攜程)在和銀行進(jìn)行對接的時候需要用到它,如果沒有CVV碼就無法同銀行進(jìn)行支付業(yè)務(wù)。

  “作為旅游行業(yè)的公司,往往會在預(yù)訂機(jī)票或者酒店的時候出現(xiàn)一個緩沖期,其間公司會和銀行以及供應(yīng)商去確認(rèn)房間與機(jī)票是否真正已經(jīng)預(yù)定上,在這個過程中就會存在信息緩存的現(xiàn)象?!遍Z鑫表示。

  此前一位攜程的工作人員也曾公開表示,以預(yù)定機(jī)票和酒店為代表的旅游產(chǎn)品,其價格會隨著庫存、預(yù)訂時間實(shí)時變化。對于在線旅游網(wǎng)站而言,將用戶的姓名、身份證、信用卡號、CVV碼等儲存起來,預(yù)訂反應(yīng)機(jī)制會更加靈活,能優(yōu)化消費(fèi)者體驗(yàn)。

  攜程該工作人員稱,這或許是行業(yè)的一種潛規(guī)則。

  董崢告訴法治周末記者,這就屬于無卡交易,用戶將用于支付的信用卡卡號、發(fā)卡日期、有效期、CVV碼等告知對方公司后,對方會在之后的消費(fèi)過程中提示消費(fèi)者繼續(xù)使用留有相關(guān)信息的那張信用卡。

  “消費(fèi)者確認(rèn)該信用卡支付后,系統(tǒng)就會轉(zhuǎn)向那張卡和它已經(jīng)存儲下來的CVV碼,如此就啟動了無卡支付流程?!倍瓖槺硎荆澳壳皣覍τ跓o卡交易的商戶限定非常嚴(yán)格,無卡交易權(quán)很難拿到?!?/p>

  近日也有消息曝出,早在2009年以前,攜程的服務(wù)器并不留存用戶CVV碼,用戶每次購買機(jī)票或者預(yù)訂酒店都需要輸入CVV碼;但2009年,攜程CEO范敏為了簡化操作流程和優(yōu)化客戶體驗(yàn),最終決定在攜程服務(wù)器上留存CVV碼。

  不過這一說法目前尚未得到攜程方面的確認(rèn)。

  閆鑫告訴法治周末記者,攜程以后一定會嚴(yán)格按照國家以及相關(guān)機(jī)構(gòu)的規(guī)定,在客人支付完成后,立即將CVV等信息刪除。

  專家稱攜程違規(guī)

  中央財經(jīng)大學(xué)中國銀行業(yè)研究中心主任郭田勇在接受法治周末記者采訪時表示,依照相關(guān)規(guī)定,攜程存儲用戶CVV碼的行為應(yīng)屬違規(guī)。

  銀聯(lián)2008年出臺的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》中規(guī)定,銀行卡受理終端僅限于保存當(dāng)前交易批次內(nèi)用于交易清分(清算的數(shù)據(jù)準(zhǔn)備階段,主要是將當(dāng)日的全部網(wǎng)絡(luò)交易數(shù)據(jù)進(jìn)行匯總、整理、分類)所必需的基本信息要素,并在該批次結(jié)束后及時予以清除;各類受理終端均不得存儲銀行卡磁道信息、卡片驗(yàn)證碼、個人標(biāo)識代碼、卡片有效期等敏感賬戶信息。

  記者同時也發(fā)現(xiàn),目前針對上述違規(guī)情況,《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》中尚未明確銀行卡受理終端違規(guī)存儲用戶CVV碼所要承擔(dān)的相關(guān)責(zé)任。

  “即便如此,相關(guān)部門仍可以根據(jù)具體情況酌情對違規(guī)者進(jìn)行處罰?!惫镉卤硎?。

  中國政法大學(xué)民商經(jīng)濟(jì)法學(xué)院教授吳景明坦言,有規(guī)定但是沒有處罰細(xì)則,這樣違規(guī)者也很難得到應(yīng)有的制裁,所以經(jīng)營者往往敢于違規(guī)操作,這也是當(dāng)前存在的一個欠缺。

  吳景明告訴法治周末記者,如果商家因違規(guī)給消費(fèi)者造成損失,可以按照其他相關(guān)規(guī)定,如侵權(quán)責(zé)任法、消費(fèi)者權(quán)益保護(hù)法等對其進(jìn)行制裁。

  對于攜程保留客戶信息是否將面臨處罰的問題,閆鑫表示,目前還沒有得到任何相關(guān)通知。

  吳景明表示,新消法中也對信息泄露問題進(jìn)行了明確規(guī)定,即商家對消費(fèi)者的個人信息要進(jìn)行嚴(yán)格的保密義務(wù)。保護(hù)個人信息已經(jīng)成為現(xiàn)代社會尤其是網(wǎng)絡(luò)時代一個非常重要的內(nèi)容。

  CVV碼泄露的潛在風(fēng)險

  董崢告訴法治周末記者,Visa和MasterCard是國際上兩大信用卡組織,CVV碼是Visa的稱謂,萬事達(dá)則稱作Card Validation Code,即CVC碼。

  “雖然稱謂不同,但是它們的功能卻是一樣的。”董崢表示。

  據(jù)董崢介紹,在正常情況下,信用卡到期換卡時卡號是不變的,CVV碼則是變的,它是個隨機(jī)號。而且這個隨機(jī)號甚至連銀行都不知道,不計入銀行數(shù)據(jù)庫,相當(dāng)于一個隨機(jī)驗(yàn)證碼。

  “在信用卡信息里,CVV碼和卡片號都非常重要,很多消費(fèi)者的信用卡被盜刷就是因?yàn)閮蓚€號碼同時泄露出去了?!倍瓖樃嬖V法治周末記者。

  在游俠安全網(wǎng)創(chuàng)始人張百川看來,攜程存儲用戶CVV碼的行為,具有較大的安全風(fēng)險。

  “攜程存儲CVV碼是出于自身方便的目的,但是它很難保證這些信息在其系統(tǒng)內(nèi)的安全,而一旦這些數(shù)據(jù)泄露出去,必將給消費(fèi)者造成較大的損失,這肯定是與安全相悖的。”張百川告訴法治周末記者。

  對此,攜程方面曾發(fā)布公告稱,攜程客服于3月23日已全數(shù)通知相關(guān)用戶更換信用卡,并給予上述93名用戶每人500元任我行禮品卡作為補(bǔ)償;經(jīng)各銀行反饋,截至目前,沒有發(fā)生攜程用戶信用卡被盜刷的情況。

  “這93人并不是真正遇到了信息泄露的問題,只是他們的信息存在潛在的風(fēng)險?!遍Z鑫告訴法治周末記者。

  閆鑫同時也表示:“實(shí)際上這93人名單也是經(jīng)過加密的,并不是任何人下載這個日志后就可以隨便看到里面內(nèi)容的,不過作為黑客確實(shí)有這樣的技術(shù)能力?!?/p>

  那么,如果將來出現(xiàn)因此次信息泄露導(dǎo)致的消費(fèi)者損失的情況,攜程又將如何處理?

  對此,閆鑫表示:“如果將來出現(xiàn)了消費(fèi)者因此次信息泄露導(dǎo)致的信用卡被盜刷的情況,攜程肯定會在第一時間配合相關(guān)部門如公安機(jī)關(guān)等去積極調(diào)查這一問題?!?/p>

  攜程在公告中承諾,未來如果因安全漏洞引起用戶損失,攜程將承擔(dān)全部責(zé)任并給予賠付。

  閆鑫還告訴法治周末記者,攜程現(xiàn)在已經(jīng)及時修補(bǔ)了漏洞,目前所有用戶的信用卡信息也都是安全的,大家不用急于去換卡,攜程不想因此給消費(fèi)者造成極大的恐慌,以后也會在安全方面繼續(xù)加大投入。

  攜程剛啟動PCI認(rèn)證

  在一些業(yè)內(nèi)人士眼中,攜程此次出現(xiàn)安全漏洞,與其一直未做PCI標(biāo)準(zhǔn)認(rèn)證有著較大的關(guān)聯(lián)。

  國內(nèi)首個提供PCI合規(guī)咨詢與認(rèn)證的機(jī)構(gòu)——北京航天億展科技有限公司(以下簡稱“航天億展”)的一位相關(guān)負(fù)責(zé)人對法治周末記者表示,PCI是一套針對支付卡行業(yè)的國際安全認(rèn)證標(biāo)準(zhǔn),主要對持卡人數(shù)據(jù)在公網(wǎng)上傳輸、存儲、處理進(jìn)行安全認(rèn)證,防止卡支付的數(shù)據(jù)泄露。

  該負(fù)責(zé)人進(jìn)一步表示,凡是業(yè)務(wù)中涉及到對持卡人數(shù)據(jù)的存儲、傳輸和處理的公司,都建議做PCI認(rèn)證。Visa和銀行也會強(qiáng)制涉及到外卡業(yè)務(wù)的第三方支付公司通過PCI認(rèn)證。

  不過某旅游網(wǎng)站工作人員告訴法治周末記者,目前大多數(shù)電商都還沒有通過PCI認(rèn)證,但是也都是按照相應(yīng)的規(guī)范去執(zhí)行的。

  “在線旅游網(wǎng)站中,去哪兒網(wǎng)已經(jīng)通過了PCI認(rèn)證,但是攜程則沒有?!睆埌俅ū硎?。

  攜程在曝出安全漏洞后也在其公告中稱,已經(jīng)啟動了PCI認(rèn)證程序,以期更好的符合監(jiān)管要求。

  那么,為何攜程此前一直沒有加入該項(xiàng)認(rèn)證?

  閆鑫告訴法治周末記者:“國家并未強(qiáng)制規(guī)定電商一定要加入這個認(rèn)證才可以在網(wǎng)上進(jìn)行支付,它只是一個商業(yè)性標(biāo)準(zhǔn)。”

  不過有消息稱,此前攜程曾有意向接入該系統(tǒng),但是公司工作人員去考察之后發(fā)現(xiàn),攜程系統(tǒng)要整改難度太大,業(yè)務(wù)種類多且交叉多,如果按照該系統(tǒng)接入而整改會使架構(gòu)有所變化。

  閆鑫表示,目前尚未獲知這一情況。

  據(jù)航天億展相關(guān)負(fù)責(zé)人介紹,企業(yè)要申請通過此認(rèn)證,并沒有具體的資質(zhì)要求,只要是有完善的網(wǎng)絡(luò)系統(tǒng)就可以在專業(yè)的PCI合規(guī)咨詢及認(rèn)證機(jī)構(gòu)的指導(dǎo)下,完成差距分析和整改工作,并最終獲得PCI認(rèn)證。

  不過該負(fù)責(zé)人告訴法治周末記者,PCI標(biāo)準(zhǔn)有6大項(xiàng)目,下屬12個中型項(xiàng)目,再細(xì)分為242個小型項(xiàng)目,終端細(xì)分為399個流程測試項(xiàng),整個PCI標(biāo)準(zhǔn)基本就圍繞這些項(xiàng)目進(jìn)行的,需要逐項(xiàng)對所需驗(yàn)證的系統(tǒng)環(huán)境進(jìn)行評估整改,直到滿足要求為止。

  中國電子商務(wù)協(xié)會政策法律委員會副主任阿拉木斯告訴法治周末記者,電子商務(wù)領(lǐng)域發(fā)展較快,變化也較大,一般的鼓勵性、參照性、指引性的安全標(biāo)準(zhǔn)比較多。

  “針對當(dāng)前信息安全問題多發(fā)的現(xiàn)狀,以后在制定強(qiáng)制性標(biāo)準(zhǔn)以及相關(guān)法律的建設(shè)方面,還需要進(jìn)一步加強(qiáng)力度?!卑⒗舅贡硎荆耙?guī)范需要和法律法規(guī)相結(jié)合,不履行標(biāo)準(zhǔn)該承擔(dān)怎樣的法律責(zé)任,這也需要有相應(yīng)的規(guī)定。”

  不過阿拉木斯也坦言,相對來說,系統(tǒng)很難達(dá)到絕對安全,它是一個動態(tài)的過程,就像操作系統(tǒng)一樣,總會不斷有漏洞出現(xiàn),需要不斷去打補(bǔ)丁修復(fù),而這種動態(tài)性也是當(dāng)前修法和立法所面臨的一個困境。法治周末記者蔡長春

  鏈接

  CFCA:

  即中國金融認(rèn)證中心(China Financial Certification Authority),是經(jīng)中國人民銀行和國家信息安全管理機(jī)構(gòu)批準(zhǔn)成立的國家級權(quán)威的安全認(rèn)證機(jī)構(gòu),是重要的國家金融信息安全基礎(chǔ)設(shè)施之一。

  PIC認(rèn)證:

  即支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(Payment Card Industry Data Security Standard)。Visa、MasterCard、American Express、Discover Financial Services、JCB這全球五大國際卡組織在2006年一起創(chuàng)辦了PCI安全標(biāo)準(zhǔn)委員會,并制定了這套保護(hù)持卡人數(shù)據(jù)的技術(shù)和操作的基本安全要求措施。

標(biāo)簽:cvv|信用卡|pci
責(zé)任編輯:杜思思 杜思思
相關(guān)新聞
我來說兩句
請您文明上網(wǎng)、理性發(fā)言并遵守相關(guān)規(guī)定。
你至少需要輸入 5 個字    昵稱:       
特別說明:轉(zhuǎn)載內(nèi)容(即來源未注明“晉江新聞網(wǎng)”或“晉江經(jīng)濟(jì)報”的稿件)文章僅代表原作者觀點(diǎn),不代表本網(wǎng)立場;如果您認(rèn)為轉(zhuǎn)載內(nèi)容(即來源未注明“晉江新聞網(wǎng)”或“晉江經(jīng)濟(jì)報”的稿件)侵犯了您的權(quán)益,請您來電或來函告知,并提供相關(guān)證據(jù),一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。
論壇熱貼  〉