攜程信用卡信息被泄露,除了更換信用卡還有什麼別的好方法處理么?
消息來自烏云: 攜程安全支付日誌可遍歷下載 導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)
攜程將用於處理用戶支付的服務介面開啟了調試功能,使所有向銀行驗證持卡所有者介面傳輸的數據包均直接保存在本地伺服器。(類似IIS或Apache的訪問日誌,記錄URL POST內容)。
同時因為保存支付日誌的伺服器未做校嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意駭客讀取。其中泄露的信息包括用戶的:
持卡人姓名
持卡人身份證
所持銀行卡類別(比如,招商銀行信用卡、中國銀行信用卡)
所持銀行卡卡號
所持銀行卡CVV碼
所持銀行卡6位Bin(用於支付的6位數字)信用卡的資料全部被泄露了,但是更換信用卡的成本確實比較高,請問還有什麼其他的替代方法可以在不更換信用卡的情況下盡量確保安全么?比如修改CVV
--------------------------------------------------------------------
感謝各位老師的回答!國外很多網站也有類似綁定了信用卡的功能,比如amazon,godaddy,linode等等,那麼他們是採取什麼方式來避免類似的情況發生呢?
那個…知乎上第一個贊同破百的答案,雖然好像是個段子…
然後…已經有地方轉載了,果然也沒提出處,而且排版很爛。有必要申明一下我的轉載規則:1.可以轉載 2.可以不注本人名字 3.必須註明來源知乎或知乎用戶 4.如全文轉載或整段轉載,必須在首尾加引號,且不可刪除段間的換行回車。謝謝
----------------------------------------------------------------------------------------
攜程出了這檔子事,我一點也不稀奇。Why I"m not surprised?我就講一個發生在我身上的事:
記得是2011年吧,那會我在印尼出差,回國要途經香港轉機需要住一天,就打電話給攜程訂酒店。
結果什麼都談好了,到了支付環節,攜程說需要我的信用卡做擔保,我說沒問題。信用卡做擔保,這不太正常了么?
對吧?太正常了!
結!果!攜程那話務員就開始在電話里拿中文問我的信用卡號、有效期、CVV碼以及身份證號!
是真的「問」,然後要我把號碼念出來,她再大聲的重複一遍以校驗。
我當時就崩潰了,卧槽這號碼是隨便說的嗎?有信用卡號、有效期、CVV碼這三個東西,網上就可以隨便刷我卡了好嗎?
但是沒辦法,酒店必須得訂,當時只有攜程訂方便,我其他的方式根本不知道。
訂完酒店嚇的我都快尿了,回國之後立馬cancel信用卡重新辦了一張。
這還沒完,我之後和攜程投訴,電話打了快一小時,他們那的經理顯然完全不理解我在說什麼。先一個勁的問說你是怕自己念卡號被別人聽去了嗎,那你找個僻靜地方唄。(吐血不止)然後又一個勁的跟我賭咒發誓保證他們的話務員不會盜用我的卡片信息,說攜程話務員是well trained。卧槽你去銀行取錢,然後銀行因為信任自己的員工就讓你把密碼直接說出來,這他媽是間諜片對暗號呢嗎?我當時非常生氣,我說要這樣,我哪天去你們公司應聘話務員,一旦開始工作我隨便記住哪個客戶的信用卡信息,我刷個幾千上萬,神仙也查不出來。然後怎麼講也講不通,感覺他們就不認為這是個事,氣的我就直接把電話掛了。
這還沒完呢,又過了一年,我也是沒長記性,異地考托福又想通過攜程訂酒店,又管我要信用卡信息,到了CVV的時候說讓我按鍵盤輸入。我一陣那個欣慰啊,心說我的投訴終於有用了,這幫傻X終於明白了這東西不能讓人看見,我容易嗎我。然後我心裡甜滋滋的輸入了CVV並按了#號,然後就聽到話務員的甜美聲音「王先生您剛才輸入的CVV是123沒錯吧?」。
我當場差點沒一口血噴出來,這!尼!瑪!有!什!么!意!義!嗎?
攜程豈止是存儲CVV嗎,簡直就是沒有對這些有重大價值可以給客戶造成重大損失的信息有絲毫的重視,他們出了這種事,簡直太正常了,太正常了。
換卡,無他。
——————————————————
寫回答之前給了某個排名靠前的一個答案反對,回答後有人堅持批評我的吐糟和題目無關,那本人就展開回答,也算回應。
接下來所說的,純粹是在假設信息已經泄露這種極端情況下的應對方案,不代表本人對攜程此次事件風險大小的判斷。如果你覺得自己不是或不會是此次泄漏事件的受害者,請無視所有啰嗦。
一、有沒有別的好方法
答案是相同的——換卡,無他。
攜程訂票這種屬於線上無卡交易。根據交易規則,持卡人僅需向商戶(攜程)提供自己的姓名拼音、卡號、有效期及卡片背後的CVV碼就可以通過發卡銀行的授權系統,完成交易。整個交易全電子化,非常簡單,是信用卡便捷性服務的一種。而這些信息,是一張信用卡發卡後就確定的,不能改變的。如果是信用卡磁條信息泄露,還可以到銀行經特殊的機器修改磁軌中的驗證信息,從而不用換卡,但用於網路交易的這些信息是沒法更改的,因此只有換卡。
二、錯誤原因
銀行的整個風控流程都是在做加法,也就是說極力避免讓一個操作人員能夠完成所有的操作步驟,甚至同一個環節的一個步驟,這也就是為什麼銀行櫃檯後面會有個主管在各個櫃檯人員背後走來走去,那是在做複核。正是因為非常簡單,信用卡網路交易也就存在巨大的安全隱患——信用卡信息集中——泄露。
就攜程這種服務方式而言,泄露有兩種。其一,客戶在網頁或客戶端自己填寫信用卡信息;其二,客戶通過人工客服報送信用卡信息。這兩種流程中,攜程的工作人員都可能知曉並記錄客戶信用卡完整交易所需信息,從而爆發風險。為了控制這種風險,就需要相應的規則,即:1)攜程應該禁止客服人員通過客戶口頭告知交易所需信用卡信息;2)攜程的計算機系統不應該存儲上述信息。這就好比你去銀行櫃檯取款,銀行絕對不能允許櫃檯工作人員向客戶索取密碼然後幫你輸入密碼。
但是,攜程這次就這樣幹了。攜程的客服在日常工作中經常讓客戶口頭報全部的交易信息,這次還擅自存儲了交易信息,而且還是明文,還能被外部下載……這就令人無語了。另根據@田勇智 的回答,攜程根本就沒有通過PCI-DSS認證……感情在裸奔。
當然,如此犯二的不止攜程一家,這種信用卡信息大規模泄露事件之前也曾有過。2013年12月19日,美國第二大超市TARGET宣布有4000萬張卡片的信息被泄露(上海遊客美國旅遊回來遭偽卡境外盜刷 損失逾3萬)。2008年那次,一群黑客開著車子停在大型超市停車場,通過超市的無線網路侵入系統盜取了幾千萬張信用卡信息。這些事在美國都歸保護總統的特勤處管(特勤處的大漢們真蛋疼)。
三、風險處理
如果此次攜程違規存儲的信息真的泄露了出去,那麼有了這些信息,不法分子就可以輕鬆順利地完成交易,銀行也攔不住,按規則也沒法攔。因此時間很寶貴,攜程必須全力以赴儘快解決這一問題。
攜程現在的聲明說信息暴露時間很短,且未見除烏雲外的其他人下載利用這些信息。對此外人無法判斷真偽,不予置評。
除網站技術外,攜程現在要做的是修排查那些客戶的那些信用卡信息泄露了(如有),整理出來,通知泄露所涉及的客戶,建議客戶更換卡片。同時,聯繫各家受到波及的銀行,告知泄露情況,請各發卡行對早泄露卡片做批次block處理。
就客戶而言,如果你擔心名列其中,特別是使用白金卡的各位土豪們,最好主動換張卡。如果客戶告知銀行自己的卡片信息可能泄露不安全,銀行平時會很樂意幫助客戶換卡(可以降低損失風險,省下防控成本)。只是考慮到攜程的龐大用戶量,這次如果主動申請換卡的客戶太多,銀行心裡肯定也是一千萬頭神獸奔騰而過,態度怎樣就不知道了。但再不濟,客戶自己想想辦法,就說卡片磁條損毀,刷不出來了唄……
其實換個卡很簡單,沒有多麼麻煩,別想得太嚴重。
四、附帶吐糟
我還是要保留吐糟。因為工作需要,我也是攜程的用戶。作為一名前收單風控人員,我從一開始接觸就發現攜程客服人員在完成交易過程中存在的操作風險。明明可以手機按鍵輸入卡片交易信息,卻偏偏讓客戶口頭報送(不知道是不是為了節約單筆業務通話時間),如果有工作人員手腳不幹凈,記錄下這些信息,那可是可以賣錢的。再膽大些的,直接網路盜刷,買個遊戲幣或機票什麼的,信用卡額度分分鐘就被盜光了。
另外,攜程的客服話術不精鍊,導致單筆業務通話時間過長,浪費人力成本。航班票務信息系統過慢,經常查一個航班票務需要等很久。而這些信息用手機或網頁在淘寶旅行、去哪兒網(純舉例非營銷)等票務網站幾秒鐘就能搞定。訂單不能合併支付,客服會在凌晨回電客戶解決投訴問題等等等等……
操作風險、道德風險,都是相互關聯的。流程及操作上沒有問題,員工再壞也無從下手。之所以用自身的經歷吐糟,包括吐糟其技術問題,是想說,如果這些最簡單的風險管控和流程優化都無法解決,那麼攜程的整個技術水平和管理水平是值得懷疑的,出現今天這種大規模明文存儲信用卡信息並出現泄漏風險,幾乎是必然的。
最好專門準備一張信用卡用於網路消費。做好卡片總額限制,並設定單筆和單日限額,大額消費畢竟不多(央行統計上海地區約80%個人年網路消費總額在1萬元以下),就網上銀行專業版吧。看在錢的面子上,別嫌麻煩。
或者如 @葛巾所建議,買個信用卡盜用的保險。
CVV2是信用卡在互聯網、電話交易的最後安全屏障,如果卡號、有效期和CVV2一起被泄漏,除了換卡沒有任何解決辦法。
再來說說這件事攜程處理的不專業的地方,可能也是國內公司普遍的處理方式:
1. 昨天事情在微博爆出後,攜程官方微博發表如下聲明:我相關部門已經在第一時間展開技術排查並在消息發布兩個小時內進行了漏洞彌補工作。目前沒有用戶受到該漏洞的影響而造成相應財產損失的情況發現。 攜程對於烏雲平台發現的漏洞信息表示非常重視和感謝並將對於提供漏洞信息者給與重獎。對於此次漏洞事件如果有新的進展將持續通報。
我們可以看出,攜程雖然對這件事情很重視,但是完全沒有考慮到對持卡人和客戶的影響,站在自己的立場上發表的這樣一篇不痛不癢的聲明。
2. 今天早上7:11攜程再次發表聲明:
截圖來自攜程新浪官方微博
該聲明雖然態度比起第一次聲明要好很多,但是依舊沒有說明該事件到底可能影響到那些那些持卡人和客戶,對持卡人和客戶的建議是什麼。
我的建議:
1. 對於任何需要接收信用卡的公司都有可能發生此類事件,假如真的不幸發生此類事件後,相關公司應該完全透明的公開說明事件可能影響到的用戶以及對用戶具有可操作性的建議(承諾自己對盜刷進行賠償就別拿來秀下限了)。
2. 根據目前爆出來的消息,對於個人來說,如果你最近(例如一周或者一個月)在攜程有使用信用卡交易,建議撥打你的信用卡客服電話,說明原因,請求銀行幫你換一張新卡(卡號、有效期、CVV2會變)。
3. 如果你覺得換卡太麻煩,或者你最近沒有在攜程使用過信用卡,建議持續關注此事或等待銀行通知,如果客戶信息泄漏需要換卡,一般銀行也會主動聯繫你。
======================================================================
PS: 我根據爆出的信息幫攜程撰寫一份聲明,如果大家覺得比攜程官方的好就點個贊吧:
3月22日烏雲(WooYun)漏洞平台發布消息稱:「攜程安全支付日誌可遍歷下載,這一漏洞導致大量用戶銀行卡信息泄露,包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin。」
該消息一經傳出,我們便立即聯繫漏洞發布方進行溝通,並連夜徹查,發現漏洞是攜程旅行網在3月21日的技術調試過程中,錯誤配置系統參數導致,目前已經修復該漏洞。
經日誌審核發現,除了漏洞發現人做了少量的測試下載以外,目前尚沒有發現該漏洞被其他人惡意利用。我們已經與漏洞發現人進行溝通並確認,要求漏洞發現人安全刪除已下載的用戶數據。
目前我們已經聯繫卡組織、各大發卡行說明情況,經證實,目前尚沒有發現與該漏洞相關的用戶信用卡被盜用的情況。
基於風險考慮,我們建議3月21、22日在攜程旅行網有使用信用卡進行交易的客戶,立即聯繫您的信用卡客服中心,說明情況並要求更換一張新卡。如果您在此次換卡過程中產生費用,攜程旅行網將給予雙倍補償。
對此,我們向用戶誠懇致歉,我們將進一步加強內審流程和風險控制流程,確保不再發生類似的事件。
======================================================================
補充答案:
對於互聯網信用卡交易不管是否採用綁定還是每次輸入的方式來執行,都存在同等的安全風險。國際上涉及信用卡交易的安全主要是要求相關企業通過PCI-DSS來保證其系統和業務流程是相對安全可靠的,PCI-DSS在2010年已經是強制要求,但是國內的特殊情況導致該標準在國內認知度不高,並且也沒有按照卡組織的時間線來實施強制認證。除了換卡,沒有任何有效招數。CVV2本來就是為了解決遠程交易的問題出現的,它天生就是不安全的。CVV2被泄露,不光攜程,很多國外網站也出過事。
強烈建議不要輕易在網上交易中使用CVV2方式,可以考慮一些替代:
- 用第三方支付、網銀
- 有些銀行提供虛擬信用卡,建議申請一張備網上支付用
- 實在要用,找個對於盜刷申訴比較友好的銀行,比如招商銀行
換卡。
說說換卡的經歷。鑒於之前在攜程上訂過機票,看到新聞後第一時間打信用卡貴賓服務熱線,我說攜程泄密事件,讓我決心換卡;接線員向我保證攜程泄密時間沒有影響,我還是選擇換卡。其實就是先掛失,再補卡,全流程1分鐘搞定。最後,接線員說,從今日起,該卡所有的盜刷風險由我行承擔。聽到這句話,我無比的欣慰。掛了電話。
其實更換信用卡還是挺簡單的,比如招行的,直接打信用卡熱線過去,就可以安排更換信用卡了,然後舊卡就會被凍結了。
碰到這種情況,除了更換信用卡,我沒想到有比這個更好的方法。
大部分信用卡,卡表面的卡號,有效期,安全碼一旦泄漏,那在網上隨便誰都可以刷你的卡了
拿你的信用卡去apple刷一個mac pro,然後把你的剩餘額度刷個幾十套正版windows,分分鐘刷爆你額度
什麼,你設置了交易密碼?那我告訴你交易密碼只對銀聯有用,如果你是帶VISA或者MasterCard標誌的雙幣卡,走VISA或者MasterCard通道是根本不存在密碼這個東東的,只要【卡號】【有效期】【安全碼】三個數據泄漏,除了銷卡換卡沒有其他選擇。
要是碰到交行這種不買他的用卡無憂險被盜刷不負責,買了用卡無憂,網上被盜刷仍然不負責的流氓銀行,你哭都沒地兒。
為什麼外國人信用卡都沒密碼,為什麼他們敢放心大膽的刷?
第一,國外商戶刷卡時都會對照簽名確保是持卡者本人,國外商戶碰到外國遊客會要求出示護照比對,否則會拒付。第二,也是最重要的,美國規定個人承擔交易損失不超過50刀,其餘商家或者銀行的風控買單,一旦持卡人被盜刷,商家和銀行會買單,所以美國人敢放心大膽的刷。
但是這一切放到中國特色社會主義的大地就不管用了,出了事,商家自然不管,銀行推卸責任。所以中國人各種網上支付還是以儲蓄卡為主的,類似支付寶的第三方支付也設置了各種第三方擔保交易啊,數字證書啊,既然咱們不是信用社會,只能從制度上去防範了。
中信銀行打個電話就可以免費換新的信用卡,3 到 5 個工作日收到新卡。
工商銀行也可以,收卡時間稍微更久一點兒。
都是親身試驗過來寫答案。所以別糾結了,換一個卡吧!
攜程反饋受影響的主要為3.21和3.22交易的客戶,目前還沒有更新的消息。
ps:持續觀望!懶人不想換卡。哎~
————————————分割線————————————————————
關心的人很多,因此補充下:
1、昨日被爆出漏洞後,主流媒體包括騰訊科技、新浪科技在新聞中都註明了攜程方面反饋受影響客戶為3.21及3.22交易的部分客戶。
2、根據其他一些媒體報道,今年一月已經有顧客投訴攜程網儲存信用卡信息。
中新網-視頻-今年一月攜程已被曝出存在信用卡信息泄露風險:銀聯明文禁存信用卡信息 攜程稱做法系國際慣例
4、關於賠償(官博給出的答覆)
除此之外沒有更詳細的賠償細節和措施之類的。因此,評論中已經被盜刷的知友可以撥打電話進行投訴備案。等待賠償。
5、我個人是一張攜程和招行的聯名卡,在常用信用卡信息中沒有數據。但據了解,說是凡是交易過了的信用卡都會自動抓取信用卡信息(未經證實)。現在的做法是將固定額度調至最低。等待官博公布的進一步細節。
6、Adobe、Target信用卡信息泄漏後出現了盜刷現象,因此,肯定有同為懶貨的我的同仁存在,還是適當採取點措施吧。換卡,而且要卡號。不要怕麻煩。
因為不換卡號的話,有效期和CVV都能被試出來的。
登錄攜程網頁版,依次進入
我的信息,常用信息管理,常用信用卡。
就能看到是哪張信用卡泄露了。全部換卡換號吧
目前招行的響應最快,免費換號換卡。
我只想說,周一攜程的股票要大跌了。招行又會被大家稱讚。
換新卡就可以解決了,這也是銀行建議的做法!
廣發銀行2月25號電話通知我的卡片存在盜刷風險,建議我設置交易密碼。我當然拒絕了,因為從來都是簽名消費,當下還以為是銀行為了推廣設置消費密碼而找的託辭。
在我拒絕之後廣發竟然說既然如此可以幫我免費辦理緊急掛失並且次日就用EMS寄新卡給我。聽到這裡我就知道事情有蹊蹺了,就問客服為什麼一定要換新卡。她說我曾經消費的商戶涉及違規操作,有信息泄漏和盜刷風險。
於是我答應換新卡了,直到昨天新聞出來才恍然大悟。看來發卡銀行早就收到盜刷報告和知道這整件事,只是新聞晚了快一個月才爆出來。
update:看來我的遭遇和推斷沒錯,早在上個月下旬就有人開始被盜刷了:嚴茂軍的微博|新浪微博主要是影響有國際支付功能的visa master一類,因為這些卡在網站上輸入信息就可以了不需要密碼。然而國內對於保密追責這塊並沒有國外成熟,盜刷索賠銀行基本不負責……所以還是祈禱蘋果和亞馬遜不要哪天把我給賣了
換卡! 在攜程或其他網站輸入過(或透漏過)CVV碼的都需要換卡。
早知道攜程的話務員有這麼大許可權(可以記詢問並錄客戶信用卡信息),就應該報個強化記憶班,然後去攜程應聘,工作1年。 就可以記錄下1W+的信用卡信。然後辭職,靜默半年,然後就可以隨意盜刷,50%的成功率。每個卡200,就是100W。
玩笑話,實際操作,被捕入獄,概不負責!
受害者之一,打過電話給信用卡中心了,他們幫我凍結了卡,告知我等通知。
具體換不換卡,信用卡中心自行判斷。等處理好了通知我。強烈反對大多數回答!
這個問題應該分開來看待。
首先,「攜程記錄用戶信用卡隱私信息」這個行為是錯誤的,這個毋庸置疑。
其次,除了攜程自己,任何與支付有關的公司都應該加強自己的安全性,這個實際上支付有關公司都很重視,只是有沒有做好又是另一碼事了。
再次,這次「用戶信用卡隱私信息」泄露了多少我們並不知道,很多人過於緊張的原因是覺得:「白帽子找到了問題」==「泄露了」
攜程應該會放出詳盡的調查分析結論,比如:有沒有泄露,泄露的範圍是什麼(幾天內的?還是某些用戶群體?)等等。
如果你真的太敏感,確實可以考慮凍結先,至於換不換卡,讓子彈再飛會吧。
-----------更新-----------廠家的應急是很及時的,回復也很中肯,坐等更多細節吧:
攜程技術人員已經確認該漏洞,並在兩小時內及時修復,對於烏雲平台發現的漏洞信息表示感謝。該漏洞受影響的用戶為近期的部份交易客戶,目前並沒有用戶受到
該漏洞的影響而造成相應財產損失的情況發現。攜程旅行網始終對信息安全非常重視,對於此次漏洞事件如果有新的進展將持續通報。
別說了,你們去看看芒果網,密碼TMD絕對是明文的。
如果不是明文的,也夠雷人的。
為什麼,你試試改密碼,改完了,他還很「友好」發簡訊給你,告訴你剛才改的密碼是多少。
我CAO,告訴我改了密碼就行了,你何必告訴我改成多少了呢,這不是無形中密碼又明文傳播了一次嗎!!!SB!
打電話給銀行凍結卡,換卡當然是最穩妥的方式。
但是對於我等懶人,有沒有偷懶的辦法?
換張卡花不花錢是小事兒,但是以前腦子裡記的卡號要重新再記一遍,各種地方綁定的卡信息還得再弄一遍,有些留了卡信息自動繳費的還得換一遍。想想都頭疼。
信用卡安全是誰的責任?
信用卡的信息本來就是公開印在卡上的,所以其實沒有什麼安全可言,理論上只有你刷過卡,卡的信息就已經暴露了,所以實體刷卡商鋪有核對簽名的責任,國內銀行會建議你給信用卡設置密碼,這明顯是以安全的借口推卸責任啊,只要輸對了密碼銀行就完全免責了。
網上消費(國外)根本不需要密碼,難道盜刷的責任是我的?要這樣就別把信息印卡上啊。
假設卡片的信息已經泄露了,那麼幾種可能被使用的情景。
做假卡,如果出現盜刷,打電話通知銀行調簽賬單,核對筆跡,肯定是對不上的,商鋪責任,持卡人免責。
網上刷,如果是走銀聯通道,除了卡片和持卡人信息包括查詢密碼外,印象中均要求手機簡訊驗證碼(這個有待確認),如果需要簡訊驗證,應該是用不了的。
如果走外幣通道(如VISA MASTER AE等)確實是只需要卡片和持卡人信息就可以通過,於是錢就被刷走了!
但是!但是!當錢被刷走的時候,你會收到簡訊或者微信的通知(這個國內銀行的應該都有的對吧?)立刻打電話給銀行,掛失卡片,然後拒付這筆款項。通常銀行都有失卡保障,比如招行是掛失前48小時的消費(每年普卡1W,金卡1.5W,白金以上看額度),通常AE的比較好說話。
給你們講個我自己的經歷,就在不久前我用AE卡付了公司iOS開發者的費用$99,誰知道Apple這傢伙沒有當時扣我的錢,大概隔了有兩三個月,某天突然手機上收到$99消費提醒,打電話過去查說是Apple Online Store(US),我就翻我最近什麼都沒買啊,肯定是卡被盜了,當時打電話給銀行的時候就想著真煩還得換卡,跟銀行直接說這筆消費不是我做的,銀行讓我聯繫Apple,我說我怎麼聯繫啊,我都不知道是什麼訂單,銀行說那好吧我們去調查一下,過了一個來星期錢就退回來了……你問我後來怎麼想起來是那個iOS開發者的$99,當然不是我想起來的,之後的某天,那個開發者賬號突然被停了,說我沒交錢……
所以結論是如果不想換卡可以考慮打開消費提醒,先了解一下銀行的政策,看情況把額度調低一些。如果真的被盜刷了,找銀行索賠,但換卡是跑不了……
以上,未經專業考證,歡迎專業人士指正。
「hi,哥們我可以黑了你!」
「去你的,別鬧!」
「喂,說真的我真的可以黑了你!」
「....」
「算了,不說了你還是今天看新聞聯播吧」
「....」 .... 「我操...」
曾經在紐約某電子商務網站工作過。攜程說自己「符合國際慣例」,肯定是不對的。
國際慣例是PCI Compliance,接受信用卡、借記卡的商家都「應當」遵守。事實上,在一些比較嚴格的地方,會有每年一次的PCI Compliance測試,檢查有沒有漏洞。例如我原來所在的某知名奢侈品購物網站,就每年都有一次。
PCI Comliance的內容較多,從軟體比如網站程序到硬體比如網路設備都有要求,具體可以看維基頁面 Payment Card Industry Data Security Standard
針對卡片信息部分,在PCI快速指南
https://www.pcisecuritystandards.org/pdfs/pci_ssc_quick_guide.pdf (第15頁)有專門一個表格介紹哪些信息可以存儲,哪些不行,可以存儲的又是不是必須加密。
首先,根據微博上的消息,目前漏洞只有報告這一人知道。
其次,根據描述信息,推斷受影響的應該主要是最近幾天的交易。
推薦閱讀: