城市商报:个人信息安全 商家别不当回事
2014-03-24 22:25:32   来源:城市商报   评论:0 点击:

导读:“小林,你是不是前几天在携程上订过下周去云南的酒店呀,赶紧看看,当心自己的信用卡被盗刷,现在都说携程网泄露了用户的银行卡信息……”昨天早上8点半,休息日本想睡个懒觉的林小
\
 
\
 
\

 

  携程网93名用户银行卡信息泄露

  新《消法》:可对其处以行政处罚

  “小林,你是不是前几天在携程上订过下周去云南的酒店呀,赶紧看看,当心自己的信用卡被盗刷,现在都说携程网泄露了用户的银行卡信息……”昨天早上8点半,休息日本想睡个懒觉的林小姐,被小姐妹的一通电话给吓得不轻,立马从床上跳起来准备“保卫”自己的信用卡。在看到携程网声明此次的银行卡信息泄露事件只对21日、22日两日的用户有影响时,林小姐多少松了口气。“还好还好,我是3月19日在携程网上订的酒店。”林小姐感慨,没想到在携程网上使用银行卡竟然会有这样的风险。“以前我只听说过个人的姓名、电话、住址什么的在网上外泄,想想这些信息也就是会多接几个推销电话,可这回竟然连银行卡信息都外泄了,真是吓死人……”

  “虽然到目前为止,还没有出现信息遭泄露的卡发生盗刷事件,但携程网已涉嫌违反了刚刚于3月15日出台的新《消法》。”昨天,市消保委投诉部工作人员曹凌霄说,这算是新《消法》实施后出现的第一起大规模的消费者个人信息泄露事件,已经侵害了众多消费者的合法权益。这对众多经营者在保护消费者个人信息方面,也是个警示。

  □商报记者 汤宁

  事件还原

  携程网被曝出现安全漏洞信息泄露的卡可能被盗刷

  前天下午5点半左右,漏洞报告平台乌云网连续发布两条漏洞报告,称携程安全支付日志可遍历(指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问)下载,导致大量用户银行卡信息泄露。该漏洞的形成是由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。

  值得注意的是,信用卡信息主要包含卡号、有效期、CVV2码等,其中打印在卡片签名区的3位CVV2码又被称作“第二密码”,只要提供CVV2码,就能完成支付。这也意味着信息被泄露的卡,存在被盗刷的可能。

  到了昨天晚间10点左右,携程网客服人员回复称:“在漏洞消息发布后,携程旅行网立即展开技术排查工作,并在消息发布两个小时内修复了问题。”携程表示,可能受影响用户为3月21日至22日的部分交易客户,目前并没有用户受到该漏洞影响而造成财产损失的情况发现。同时,将对于提供漏洞信息者给予重奖。

  事件进展

  潜在风险涉及93名用户

  网站方已通知相关者换卡

  昨天,携程给本报发来邮件,对用户银行卡信息泄露事件做出了进一步的解释。邮件称:经携程排查,漏洞仅发现有人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。携程客服已于3月22日晚至3月23日,通知存在潜在风险的93名用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。经各银行反馈,截至昨天中午,没有发生携程用户信用卡被盗刷的情况。

  携程还提醒,截至昨天22:00,没有接到携程客服换卡通知的用户,个人信息均是安全的,无需担心。携程还承诺,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。

  此外,记者昨天也从部分银行获悉,昨天已接到部分曾在携程进行过支付的用户的换卡申请。业内人士介绍,此次携程所泄露的银行卡信息已足以用于信用卡复制、克隆,风险等级很高,建议更换相关银行卡。

  事件警示

  涉嫌违反刚出台的新《消法》个人信息安全电商必须重视

  信息是符号,也是财产。随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的作用日益凸显,个人信息权作为重要的公民权利内容日益受到社会各界的重视。

  记者从司法部门以及消保部门获悉,近年来盗用、收集、篡改、恶意使用个人信息现象越来越多,已经形成了一条倒卖个人信息的黑色产业链,个人姓名、职业、身份证号码、手机号码、家庭电话、家庭住址,甚至银行存款、投资状况等各种信息作为“商品”被廉价地出售。各种垃圾短信、垃圾邮件、骚扰电话等,严重干扰人们的正常生活,甚至危及生命、财产安全。而信用卡领域更是成为个人信息泄露最为严重的领域之一,许多人都曾遭遇过信用卡被盗刷事件,财产损失严重。

  “携程的信用卡信息泄露事件,可以看出很多企业在个人信息保护上根本没有引起重视。”曹凌霄告诉记者,这次刚实施的新《消法》,对个人信息保护有了明确规定。从现有情况来看,携程网在这次事件中涉嫌在没有公示和消息者不知情的情况下违法记录银行卡信息,导致信息泄露后出现安全隐患。根据新《消法》,携程网第一没有明示收集使用信息的目的、方式和规则等;第二违反法律、法规的规定和双方的约定收集、使用信息;第三对个人信息的安全保障工作欠缺。依据新《消法》的规定,相关部门可以从侵害消费者个人信息依法得到保护的权利角度,对其进行行政处罚。

  延伸阅读

  保护消费者个人信息

  新《消法》中有这些条款

  第十四条 消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利。

  第二十九条 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。

  经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。

  经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。

  第五十条 经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。

  第五十六条 经营者侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照。

相关热词搜索:回事 商家 个人

上一篇:齐鲁晚报:利诱之下,信息与安全何以“携程”
下一篇:从携程用户信息“泄密门” 透视电商行业信息安全

分享到: 收藏