《南华早报》携程记录隐私信息曝行业潜规则 专家吁立法保护

内地著名酒店、航班预订网站携程网周末爆银行支付安全漏洞,引发众多会员的紧张情绪。虽然携程声称已在事发后2小时内修复漏洞,目前亦未有出现用户信息被盗的情况,但有专家表示,目前中国并未订立隐私权法,企业违法成本很低;而一些电商网站在后台记录用户隐私信息以更快地促成交易,这种现象或许已成为了行业潜规则。

漏洞报告平台乌云上周六(3月22日)发布消息称:“由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。”

据悉,携程的这一漏洞可导致大量用户银行卡信息泄露,包含持卡人姓名身份证、银行卡号和CVV码等信息。

根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》,各收单机构系统不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。而携程的日志中存储的信息已经超过了这一标准的允许范围。其中,银行的CVV码被认为是无卡购物的最后一道防线,信息一旦遭到窃取,足以被用于信用卡盗刷,携程存储用户CVV码的做法遭到了普遍的质疑。

携程于昨日早上在其官方微博上发出申明,称这是携程网“在技术调试过程中,出现了短时漏洞”,并声称已在两小时内修复了这个漏洞。

携程表示,除了漏洞发现人做了少量测试下载并已全部删除外,没有出现恶意下载有关数据的情况。“网站的信息安全没有受到影响,用户在携程的交易仍旧是安全的。”

《新京报》发表评论称,携程对泄密事件的细节含糊其词,例如没有说明为什么要用文本保存用户支付的记录。评论称,携程曾在1月份表示,携程网后台不会记录用户的支付信息。“是当初在撒谎,还是后来又“变坏”?网站不应保存CVV现在基本上是业内同行的规则。”

对于记录用户信息,携程于昨日下午再度发出声明,称“技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。”

携程称,此次漏洞造成93名用户的支付信息存在潜在风险,已通知这些受影响的客户更换信用卡,并将给予这些用户每人500元礼品卡作为补偿。

虽然携程表示,如果有用户因为携程漏洞而造成损失,携程将全部负责。但有携程用户在微博上表示,肯定要换信用卡,因为担心如果过一段时间自己信用卡被盗刷,而自己又无法举证盗刷是否与携程漏洞有关,“那损失谁来赔?”

《东方早报》引述金山毒霸安全专家李铁军表示,携程的做法“是一种过度收集用户信息行为,类似用户的CVV码、6位卡Bin等,携程完全不必要收集,而应该让用户转到银行专门网站上输入。”

携程有关人员昨晚回应称,按照相关银行的支付规定,部分银行用户交易时,需提交CVV信息,用户授权后,携程会保存非CVV信息,而未扣款成功的CVV信息会被暂存7天,目的是协助用户便捷支付。若用户未授权,所有相关信息在交易成功后将立即删除。未扣款成功的交易,将在7天内删除CVV信息。

携程方面强调,携程的做法符合PCI-DSS(第三方支付行业数据安全标准)规定。

中国广播网的报道称,中国国内一些电商网站一味追求用户在支付环节的快捷体验,而为了更方便地促成交易完成,这些网站往往在后台记录用户的隐私信息,这似乎已经成为了行业里的潜规则。

中国广播网援引奇虎360首席隐私官谭晓生称,网际网路企业近年来泄露用户隐私事件频发,主要是因为中国相关法律体系还不健全,企业违法成本太低。“虽然在过去两三年里对于用户隐私泄露和保护吵得很凶,但一直没有一部隐私权法。用户信息真的泄露了,或者收集了不该收集的信息,基本上没有什么处罚。”

谭晓生表示,用户隐私保护目前基本上是靠企业自觉,这会造成企业出于利益进行收集储存,甚至违规使用用户信息。

镜像链接:谷歌镜像 | 亚马逊镜像

分类: 科技, 电子商务 标签: ,
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.