2014-3-24 10:17| 发布者: peter_zhang| 查看: 274| 评论: 0
携程银行卡信息泄露事件持续发酵,引发众多消费者对用卡安全的担忧。携程官方回应称,“此漏洞是携程的技术开发人员为排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。” 携程针对支付日志漏洞致用户信用卡信息泄露的官方声明 同时,携程在声明中指出,经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。 在声明中,我们注意到,携程虽然对结果进行了补救,但对一些关键信息并没有给出解释。 为何保存CVV安全码? 我们知道CVV安全码等同于密码,一般进入支付金额这一流程,用户被要求输入身份证号、持卡人姓名、信用卡卡号、信用卡卡背面上三位CVV安全码,交易就宣告成功,根本无需输入信用卡密码。所以,它的作用与风险可想而知。 就像某位微博用户提到的,“交易网站存CVV相当于小时工偷偷配了你家的钥匙,同时,他还知道关于你家所有的信息。而存储了用户信用卡的CVV,还泄漏了, 前一个是企业的基本道德问题,后一个是安全问题。有些信息可以存,有些信息无论如何也不能存,携程存了无论如何也不该存的CVV,需要输入CVV和存储 CVV是两个概念。” 所以,对与携程的回应,很多人并不满意。就像明朝万达董事长王志海认为的,“携程用户信用卡及信息泄漏事件,携程旅 行网回复避重就轻,有漏洞能理解,信息不加密也可只算不重视用户隐私,重点是为什么要违规记录用户信用卡的cvv?作为号称经过pci认证的知名电商不应该不知道这是违法行为吧?” 看来,PCI DSS 对携程又有多少落地呢?延伸到更多涉及支付行业的企业,又有多少拿此规范应用到支付流程中呢? 事件还原:
|