网站首页   新闻中心   华夏名胜   世界景点   旅行游记   风土人情   旅游常识    酒店预定    特价机票
您现在的位置: 快乐旅行网 >> 旅游新闻 >> 国内旅游资讯 >> 正文
  美图欣赏

陷入“安全漏洞丑闻” 携程股价

如何在一个新兴市场创办一家OTA?

HomeAway起诉Airbnb商标侵权

蝉游记:游记只是切入点 商业化
  相关文章
Expedia:旅游内容消费朝多元化发展
2013年中国免税报告:旅游与文化体验消
中国限制韩中包机运营 韩旅游业界或遭
中美旅游市场膨胀 业界出现恶性竞争
蚂蜂窝陈罡:旅游攻略下载量破亿
旅游法:旅行社不得指定具体购物场所
去哪儿谌振宇:旅游行业的移动化如何布
携程副总裁郭东杰:旅游业进入电商时代
业界对2013年酒店市场增长持谨慎态度
全球旅游业界调整服务迎中国客
业界:旅游产品支付手段较“宽松”  

时间:2014-03-25 17:06:59 来源:京华时报

  国内网络安全问题反馈平台——乌云漏洞平台发布消息称,由于携程网系统存技术漏洞,用户个人信息、银行卡信息可能会遭泄露。业内分析人士称,携程并没有支付牌照,按规定不允许存储用户银行卡信息,此次事件暴露出相关企业内控机制方面的短板以及部分第三方支付机构风险管理存在隐患,建议有关部门尽快出台保护个人隐私的法律法规,同时对泄露客户信息的机构进行处罚,为在线支付把好“安全阀门”。

  事件 交易网站违规存CVV码

  携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包直接保存在本地服务器,有可能被黑客所读取。携程没有支付牌照,按照规定不允许存储用户银行卡信息,尤其是CVV码(又叫用户识别码,是银行卡进行非面对面交易时用于确认用户身份的识别码,作用类似于密码)。而上述调试接口,通常是携程需要和合作公司调试时才打开,数据包通常会有多种加密功能,即便被下载也很难破译。

  据了解,携程合作的银行包括工商银行、中国银行、招商银行、浦发银行等十余家,第三方支付机构包括支付宝、财付通、银联在线等。

  携程作为纳斯达克上市的在线第三方支付企业,必须遵守《第三方支付行业数据安全标准》,其中明确规定了如何实施数据保护,以及哪些信息可以保存、哪些信息不能保存,CVV码属于不允许存储的敏感数据。

  “交易网站存CVV码,相当于小时工偷偷配了你家的钥匙,同时,他还知道关于你家所有的信息。”新浪认证微博、汽车之家创始人李想说,“需要输入CVV码和存储CVV码是两个概念。有些信息可以存,有些信息无论如何也不能存,携程存了无论如何也不该存的CVV码,这相当于把你信用卡的密码存储并泄露了。”

  揭秘 旅游产品支付手段较“宽松”

  乌云曝出的携程支付漏洞事件让不少人非常诧异:携程为什么要保存信用卡的CVV码?记者调查发现,这跟旅游产品预订的特性有关。

  以机票和酒店为代表的旅游产品,价格随着库存、预订时间实时变化。网购一张机票的流程是,用户查询到一个航班以后,比如看到一张400元3折的机票,用户输入乘机人姓名和身份证点击下一步,然后完成支付,代理商在看到用户完成支付后会凭借这个完整的订单进行出票。但用户填写信息需要一定时间,对网购熟悉的用户完成支付最快会花30秒,慢的则需要1-2分钟,在这过程中,此前的3折票很可能已被航空公司取消或者变价,价格可能涨到了450元,这就出现了支付成功但不出票。

  所以说并不是填写完个人信息,点击下一步票就预订成功。如果消费者预订时相关产品库存和价格数据与实时情况相匹配,则预订成功,相关款项也会支付出去。然而,当消费者的预订指令发出后,后台处理往往会出现各种情况,如库存没有了,或者价格涨了,这时候,预订平台就会反馈消费者是否做其他选择或继续预订。为了优化消费者的体验,对于在线旅游网站而言,将消费者的姓名、身份证、信用卡号、CVV码等储存起来,在这种情况下预订反应机制会更灵活,后台系统访问相关数据库回转机制的频率比买实体商品要高。

  第三方支付也存储用户信息

  从技术上看,旅游产品支付条件“更宽松”,预订旅游产品是不是比普通网购更不安全?一位资深技术人士告诉记者,事实上,包括第三方支付平台也会将消费者的相关数据储存起来。正规的网购平台储存数据后会进行加密,之后数据进入一个密封的管道中,只有和银行对账时,相关数据才会解密。

  在预订成功后,数据是如何“保存”下来的呢?其实相关数据此时已在预订后台被删掉,进入到另一个加密的信息储存库(非VCC)中,以便用户日后预订时调出。“携程这次的数据泄露事件,不是信息储存库里的数据泄露了。而是因为携程技术人员将用于处理用户支付的服务接口开启了调试功能,也就是说对预订后台的部分数据解密(包括CVV)进行排查技术上的问题,本来这些数据应该下载到本地日志服务器中(安全性极强,外界无法访问),但这些数据却被放在Web服务器中,可以说是不应该发生的低级错误。”该资深技术人士说。

[1] [2] 下一页

收藏本站 | 联系我们 | 友情链接 | 酒店预订 | 特价机票 | 旅游论坛 | 星级酒店
Copyriht 2007 - 2009 © 快乐旅行网 All right reserved