一、事件背景:
3月22日,国内网络安全问题反馈平台—乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露;漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV码(卡号、有效期和服务约束代码生成的3位或4位数字)等,上述信息可能被黑客读取。
该漏洞发生在21日和22日,只是在22日晚间才被发现,因此这两日在携程网交易并使用信用卡支付的消费者可能会存在风险。
23日,携程发布声明称,就携程存漏洞一事,目前确认共93人账户存安全风险,并已通知相关用户更换信用卡,并在其官方微博上表示,将给予这93名用户每人500元任我行礼品卡作为补偿。
携程此举被指避重就轻,引发用户对互联网站,尤其是电商交易网站信息安全的普遍关注与焦虑。
据中国电子商务研究中心了解,携程发生信息泄露原因如下:
根本原因一:违反银联规定本地保存银行卡信息。携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。而根据《银联卡收单机构账户信息安全管理标准》中命令禁止本地保存银行卡信息。
根本原因二:服务器安全配臵不严格。携程用于保存支付日志的服务器未做校严格的基线安全配臵,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问,遍历漏洞可导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
二、相关数据
据中国电子商务研究中心(100EC.CN)监测数据显示,5亿手机网民对软件商搜集个人信息的风险浑然不知,65.5%的网站存在安全漏洞,2013年中国网民在网上损失近1500亿元。
据中国电子商务研究中心(100EC.CN)监测数据显示,74.1%的网民在过去半年时间内遇到过信息安全问题,总人数达4.38亿,全国因信息安全事件而造成的个人经济损失达到了196.3亿元。因网上购物遇到过安全问题的网民达2010.6万人,其中因网购遭遇个人信息泄露和账号密码被盗分别为42.9%、23.8%。电脑网络支付时,资金被盗、被骗和账号密码被盗的比例达32.1%。
[1][2][3]下一页>>
