携程泄漏客户信息引担忧 第三方支付风险管理有隐患
用微信扫描二维码分享至好友和朋友圈
中央财经大学银行研究中心主任郭田勇认为，携程泄漏用户信息事件暴露出部分第三方支付机构风险管理存在隐患，建议有关部门尽快出台保护个人隐私的法律法规，同时对泄露客户信息的机构进行处罚，严把第三方支付的“安全阀”。
电话预订酒店机票是很多人熟悉的出行方式，但现在支付时个人数据可能被泄漏——日前，携程被曝光因安全支付漏洞导致部分用户银行卡信息外泄引发外界担忧。业内分析人士称，携程并没有支付牌照，按规定不允许存储用户银行卡信息，此次事件暴露出相关企业内控机制方面的短板以及部分第三方支付机构风险管理存在隐患，建议有关部门尽快出台保护个人隐私的法律法规，同时对泄露客户信息的机构进行处罚，为在线支付把好“安全阀门”。客户信息外泄引担忧3月22日晚间，乌云漏洞平台发布消息称，携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器，有可能被黑客所读取。报告并称，漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡ＣＶＶ码等。乌云是位于厂商和安全研究者之间的安全问题反馈平台。针对这些情况，携程有关人士在接受记者采访时承认在技术调试过程时，记录了用户的安全日志，对于此事给用户造成的困扰诚恳致歉。根据携程人士的叙述，截至23日晚间，确认共有93名用户的支付信息存在潜在风险，已通知相关用户更换信用卡。携程方面还声称，截至23日22：00，其他没有接到携程客服换卡通知的用户，个人信息是安全的。未来如果因安全漏洞引起用户损失，将承担全部责任并给予赔付。尽管如此，相关消息已对部分携程用户正常用卡造成影响。记者采访发现，事件曝光后多家银行客户陆续接到用户电话要求挂失更换信用卡，因工作关系经常出差的北京纪小姐就告诉记者，一直通过携程渠道预订机票和酒店，漏洞爆出后已联系银行紧急挂失信用卡，她并在微信朋友圈中提醒曾使用过携程预订服务的朋友注意账户安全。据了解，携程是国内具有一定规模的在线服务企业，消费者可以通过电话或者互联网在携程网预订国内外酒店、机票以及旅游产品可享受一定的折扣优惠。值得关注的是，在携程预订旅游产品，部分产品需要在线全额支付或者预付款才能生效。此前，曾出现过客户在线预付款但是携程直接从银行卡扣款的情况。第三方支付风险管理有隐患业内人士表示，携程没有支付牌照，按照规定是不允许存储用户银行卡信息，尤其是ＣＶＶ码。而上述调试接口，通常是携程需要和合作公司调试时才打开，数据包通常会有多种加密功能，即便被下载也很难破译。据了解，携程合作的银行包括、、、等十余家，第三方支付机构包括支付宝、财付通、银联在线等。据了解，携程作为纳斯达克上市的在线第三方支付企业，必须遵守《第三方支付行业数据安全标准》，其中明确规定了如何实施数据保护、以及哪些信息是可以保存、哪些信息是不能保存，ＣＶＶ码属于不允许存储的敏感数据。“交易网站存ＣＶＶ码，相当于小时工偷偷配了你家的钥匙，同时，他还知道关于你家所有的信息。”新浪认证微博、之家创始人李想说。记者了解到，信息泄漏的事情发生后，尽管携程网高姿态表达了对用户的歉意并承诺积极赔偿，但仅仅这些就能打消用户的顾虑吗？“需要输入ＣＶＶ码和存储ＣＶＶ码是两个概念。有些信息可以存，有些信息无论如何也不能存，携程存了无论如何也不该存的ＣＶＶ码，这相当于把你信用卡的密码存储并泄漏了。”李想说。业内分析人士坦言，随着互联网、在线支付的深入渗透消费生活，用户重要信息在线被使用、银行卡在线付款过程中存在的安全隐患将会进一步浮出水面。而目前国内还没有相关立法对第三方支付机构获取用户信息进行规范管理。中央财经大学银行研究中心主任郭田勇认为，携程泄漏用户信息事件暴露出部分第三方支付机构风险管理存在隐患，建议有关部门尽快出台保护个人隐私的法律法规，同时对泄露客户信息的机构进行处罚，严把第三方支付的“安全阀”。更需要监管部门强力介入尽管携程网及时回应了公众质疑，但公众的担忧似乎并未消减。广州一家外贸公司工作的陈小姐是携程网的忠实用户，她告诉记者，携程网及时处置事件的态度值得肯定，但作为消费者，她在意的并不是出现了问题企业给点赔偿。“携程网承诺，未来如果因安全漏洞引起用户损失，将承担全部责任并给予赔付。如何界定损失，企业说了算吗？”陈小姐很疑惑。公开信息显示，到事发为止所有的调查和损失认定工作均由携程网一方进行，并未引入第三方监管机构。业内专家指出，移动互联网应用的迅猛发展将助推在线旅游服务“蛋糕”越做越大，但市场盘子做大了，其中的问题便会浮出水面。此次携程泄漏用户信息反映出在线支付行业不仅要加强行业自律、更需要监管部门强力介入，亟待通过出台明文法规、进行合规性、合法性检查的方式将在线支付纳入到行业监管的大局之下。中央财经大学银行研究中心主任郭田勇说，行业监管不是“一刀切”，在线支付涉及金融数据安全，对潜在的风险及早做出评估，对相关企业的职业操守及时做出规范，将有利于行业的健康发展，保护金融消费者的合法权益。
[责任编辑：robot]
用微信扫描二维码分享至好友和朋友圈
免责声明：本文仅代表作者个人观点，与凤凰网无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。
04/21 07:02
04/21 07:02
04/21 07:02
04/21 06:49
04/21 11:28
04/13 09:27
04/13 09:27
04/13 09:27
04/13 09:27
04/13 09:28
12/03 09:23
12/03 09:07
12/03 08:12
12/03 08:12
12/03 09:26
09/07 09:38
09/07 09:38
09/07 09:39
09/07 09:39
09/07 09:39
04/26 09:49
04/23 08:47
04/23 08:57
04/23 09:14
04/23 09:22
凤凰财经官方微信
播放数：194353
播放数：124395
播放数：173975
播放数：82180
48小时点击排行携程瘫痪支付宝故障 互联网安全仍存在较多漏洞风险
　　5月27日支付宝宕机、5月28日携程宕机……连续两天，国内两家互联网巨头发生的宕机事件让越来越依赖网络的人，开始担心互联网信息安全问题。
　　支付宝携程网相继瘫痪
　　5月27日下午，国内最大的网上支付平台――支付宝出现大规模瘫痪，过了两个多小时才恢复。事件起因是支付宝库房所在地市政道路建设挖断了光缆。
　　昨天，国内最大的在线旅游服务提供商携程的用户发现携程App也出了问题。有网友反映，可以登录携程网主页，但无法进行任何操作，只能看到携程“小海豚”的哭脸。点击携程网主页也是同样的情况，主页可看，其他链接无法操作。
初审编辑：魏鹏
责任编辑：徐坤杰
日，吉林长春，长春刘老根大...
坐落在济南市文化西路、具有典型民族风...
潘石屹首度变身主持人，亲自坐镇优酷网...
此书是作者最满意的大型历史纪录片《北...
新闻热搜词
来源：360新闻
数据加载中...在携程网上用信用卡订酒店，信用卡号和密码安全吗？有否被盗用的危险?_百度知道
在携程网上用信用卡订酒店，信用卡号和密码安全吗？有否被盗用的危险?
您好！感谢您对携程的关注！目前携程采用信用卡无卡支付。信用卡无卡支付服务（简称“CNP（Card Not Present）”交易），是目前国际市场上普遍使用的一种支付方式，在Visa和Master网站上都有关于CNP交易的详细介绍。消费者选择信用卡无卡支付服务，就意味着授权商家有权从其提供的信用卡账户中扣除该笔订单对应的支付款项。该服务无需开通信用卡网上支付功能，无需输入密码，无需签名，摆脱了一般电子支付依赖网络的局限性，不仅使消费者付款变得更加便利，而且也提高了商家的交易效率。目前这种支付方式在国内实名制消费行业已有广泛应用。国内各大银行对申请开通信用卡无卡支付服务的商户有严格的评估标准，只有符合安全条件的商户才会被批准开通该项支付服务。同时，在商户申请银行授权时，必须根据各银行的要求提供信用卡卡号、有效期、验证码等信用卡相关信息进行验证。如仍有问题建议您致电我们的客服，将有专人为您服务。如需了解更多信息，欢迎登录携程网站：希望我的回复对您有帮助，感谢您的提问！祝您旅行愉快。
其他类似问题
为您推荐：
订酒店的相关知识
其他3条回答
你好你在网上订酒店输入的信息是保密的除非你的电脑被病毒感染
很安全，没有关系！
那是很安全的不要担心哦
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁携程究竟错在哪里：支付流程和风险管理|携程安全漏洞事件|乌云漏洞平台_新浪财经_新浪网
&&& &&正文
携程究竟错在哪里：支付流程和风险管理
　　携程需要加大信息安全上的投入
　　这次安全漏洞事件，携程暴露出来的不仅仅是信息泄露一点，还有支付流程和风险管理问题。
　　本刊记者 &朱晓培
　　如同硬币的正反面，科技发展带给人们便利的同时，各种烦恼也如影随形。
　　3月22日，乌云漏洞平台发布了一个编号为WooYun-的漏洞报告。报告指出，由于携程开启了用户支付服务接口的调试功能，支付过程中的调试信息可以被任意黑客读取。
　　这将导致大量用户银行卡信息泄露，其中包含持卡人姓名、身份证号、银行卡号、卡CVV码、6位卡Bin等等。有了这些信息，基本已经可以进行支付。
　　那么，携程究竟错在哪里？专注于客户端安全保护的梆梆安首席运营官赵宇认为，携程暴露出来的不仅仅是信息泄露一点，还有支付流程和风险管理问题。&
　　1.付款流程没有经过安全评估
　　“上市公司产品发布前是需要有安全评估流程的，但显然携程缺失了这一环节。”赵宇说。当然，由于国内的支付大多数时候需要短信验证，此次信息泄露对用户的影响可能“没那么夸张”。事后，漏洞的发现者、乌云漏洞报告平台核心白帽子黑客王音也在其个人微博发布声明称：“大家对于信用卡相关话题的反应有点过于敏感了，目前本人已经将安全测试涉及的日志信息彻底删除，而且卡号等敏感信息有加密，携程也已经及时修复漏洞，相关信息并没有被传播。”
　　2.存储数据的边界
　　从纯技术的视角说，这个安全事件并不是很严重，携程在发布的声明中解释说，携程技术人员之前为了排查系统疑问，留下了临时日志，因疏忽未及时删除。但是作为客户，人们不免要追问：为什么携程会保存CVV信息？作为OTA等第三方平台，合规做法是用户卡信息系统不得记录，但实际上，为了方便旅客下次消费直接调出记录支付，网站通常会记录下客户的信用卡全部信息。
　　对于第三方平台来说，只要保存了用户资料，就会有风险存在。“在中国，一个文件从电脑(手机)到服务器中间的传输过程中，可能被10多家公司的10多种设备监听。”赵宇说，无法保障还原后的隐私不会被泄露出去。
　　在王音看来，目前携程需要做的是加大信息安全投入，让技术人员有动力去处理安全问题，从而营造出越来越好的安全生态，“促使这个生态形成，就是乌云要做的事情。”
　　历史上的重大信息泄露事件
　　1.如家、七天开房信息泄密：曝光用户信息多达2000万条
　　2013年10月，如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。在一个名为“查开房”的网址，只需输入姓名或身份证号，即可查询到包括身份证号、地址、手机号、登记日期等真实信息。
　　2.棱镜门事件：美国政府窥探着全世界的一切
　　据美国中情局前职员爱德华?斯诺登爆料：“棱镜”窃听计划开始于2007年的小布什时期，监控的类型有10类：信息电邮，即时消息，视频，照片，存储数据，语音聊天，文件传输，视频会议，登录时间，社交网络资料的细节。
　　3.“社工库”叫卖用户账号、密码
　　2012年11月，一个自称是国内最全、每日更新300兆的“社工库”网站，公开出售自己所拥有的互联网用户的账号和密码，据称开价500元就可以买到100万条密码。该网站称自己拥有“300亿彩虹库”，“所有的密文都可以瞬时被破解”。在其主页上的标语是“社工库只有你想不到的查询方式，没有我们查不到的信息。”
　　4.CSDN、天涯网等大面积泄露用户账号 & &
　　2011年12月，CSDN的安全系统遭到黑客攻击，600万用户的登录名、密码及邮箱遭到泄漏。随后，多玩、世纪佳缘、走秀、天涯、支付宝、京东等网站相继被曝用户数据遭泄密。
&&|&&&&|&&&&|&&
您可通过新浪首页顶部 “”， 查看所有收藏过的文章。
请用微博账号，推荐效果更好！
看过本文的人还看过