第三方支付风险管理隐患不少——
携程泄漏客户信息引担忧
记者 王凯蕾 华晔迪
据新华社广州3月24日电
记者 王凯蕾 华晔迪
日前,携程被曝光因安全支付漏洞导致部分用户银行卡信息外泄引发外界担忧。
3月22日晚间,乌云漏洞平台发布消息称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取。报告并称,漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV码等。乌云是位于厂商和安全研究者之间的安全问题反馈平台。
针对这些情况,携程有关人士在接受记者采访时承认在技术调试过程时,记录了用户的安全日志,对于此事给用户造成的困扰诚恳致歉。根据携程人士的叙述,截至23日晚间,确认共有93名用户的支付信息存在潜在风险,已通知相关用户更换信用卡。携程方面还声称,截至23日22:00,其他没有接到携程客服换卡通知的用户,个人信息是安全的。未来如果因安全漏洞引起用户损失,将承担全部责任并给予赔付。
尽管如此,相关消息已对部分携程用户正常用卡造成影响。记者采访发现,事件曝光后多家银行客户陆续接到用户电话要求挂失更换信用卡,因工作关系经常出差的北京纪小姐就告诉记者,一直通过携程渠道预订机票和酒店,漏洞爆出后已联系银行紧急挂失信用卡,她并在微信朋友圈中提醒曾使用过携程预订服务的朋友注意账户安全。
据了解,携程是国内具有一定规模的在线旅游服务企业,消费者可以通过电话或者互联网在携程网预订国内外酒店、机票以及旅游产品可享受一定的折扣优惠。值得关注的是,在携程预订旅游产品,部分产品需要在线全额支付或者预付款才能生效。此前,曾出现过客户在线预付款但是携程直接从银行卡扣款的情况。
业内人士表示,携程没有支付牌照,按照规定是不允许存储用户银行卡信息,尤其是CVV码。而上述调试接口,通常是携程需要和合作公司调试时才打开,数据包通常会有多种加密功能,即便被下载也很难破译。据了解,携程合作的银行包括工商银行、中国银行、招商银行、浦发银行等十余家,第三方支付机构包括支付宝、财付通、银联在线等。
据了解,携程作为纳斯达克上市的在线第三方支付企业,必须遵守《第三方支付行业数据安全标准》,其中明确规定了如何实施数据保护、以及哪些信息是可以保存、哪些信息是不能保存,CVV码属于不允许存储的敏感数据。
业内分析人士坦言,随着互联网金融、在线支付的深入渗透消费生活,用户重要信息在线被使用、银行卡在线付款过程中存在的安全隐患将会进一步浮出水面。而目前国内还没有相关立法对第三方支付机构获取用户信息进行规范管理。
中央财经大学银行研究中心主任郭田勇认为,携程泄漏用户信息事件暴露出部分第三方支付机构风险管理存在隐患,建议有关部门尽快出台保护个人隐私的法律法规,同时对泄露客户信息的机构进行处罚,严把第三方支付的“安全阀”。
公开信息显示,到事发为止所有的调查和损失认定工作均由携程网一方进行,并未引入第三方监管机构。
业内专家指出,移动互联网应用的迅猛发展将助推在线旅游服务“蛋糕”越做越大,但市场盘子做大了,其中的问题便会浮出水面。此次携程泄漏用户信息反映出在线支付行业不仅要加强行业自律、更需要监管部门强力介入,亟待通过出台明文法规、进行合规性、合法性检查的方式将在线支付纳入到行业监管的大局之下。