携程信用卡门曝漏洞

dehuana

对此，携程称，已立即对此展开技术排查，并在两小时内修复了这个漏洞。经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。携程客服于今日(3月23日)通知相关用户雪豹更换信用卡，银行方面也会尽快协助用户办理换卡手续。携程在公告中强调，携程承诺，您的络支付是安全的。携程用户持卡人的支付信息，如姓名、身份证、银行卡号、卡CVV码、6位银行卡BIN(与6位支付密码无关)均按照国际信用卡支付安全标准要求，经过加密处理，携程对所有用户的信息安全全权负责。

在漏洞曝出后，一些持卡人连夜要求换卡，银行也加班制定应急方案。红楼梦据了解，招行、浦发等银行都针对此事减免了信用卡挂失手续费。招行信用卡中心官方于3月23日14:00表示，针对此次携程客户信息安全事件，我行在第一时间就联系携程公司，根据其反馈情况，对21日至22日可能涉及的卡片完成了必要的风险排查及防范措施。为保证您的卡片安全，我们已提高了风险监测与防范等级，并密切跟踪携程公司的相关进展，请您安心用卡，我们将会根据雷雨需要主动联络相关持卡人并采取必要措施。中行信用卡官方当晚亦发表了类似的安民告示。

与技术问题相比，携程是否有意存储了用户信用卡的CVV等信息，成为是非焦点。中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》中提到:各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、莒南县个人标识代码(PIN)及卡片有效期。

据报道，携程杭州分公司相关负责人表示:携程按照相关银行的支付规定，部分银行用户交易时，需提交CVV信息。用户授权后，携程会保存非CVV信息。未扣款成功的CVV信息会被暂存7天，目的是为了降低用户费力度与协助用户便捷支付。若用户未授权，所有相关信息在交易成功后将立即删除。未扣款成功的交易，将在7天内删除CVV信息。携程的做法，符合PCI－DSS(第三方支付行业数据安全标准)规定。