联系我们
  • 联系人: 侯女士?

    电 话: 025-58630787?

    邮 箱: [email protected]?

    手 机: 18052008777

    公司地址:南京市雨花台区雨花大道2号邦宁科技园1-4层


从携程用户信息“泄密门” 透视电商行业信息安全
2013-12-6
来源:http://www.cnitsec.com.cn/
点击数: 6984          作者:江苏天网
  •  联商网消息:3月22日,国内网络安全问题反馈平台—乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露;漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV码(卡号、有效期和服务约束代码生成的3位或4位数字)等,上述信息可能被黑客读取。
      该漏洞发生在21日和22日,只是在22日晚间才被发现,因此这两日在携程网交易并使用信用卡支付的消费者可能会存在风险。
      23日,携程发布声明称,就携程存漏洞一事,目前确认共93人账户存安全风险,并已通知相关用户更换信用卡,并在其官方微博上表示,将给予这93名用户每人500元任我行礼品卡作为补偿。
      携程此举被指避重就轻,引发用户对互联网站,尤其是电商交易网站信息安全的普遍关注与焦虑。
      据中国电子商务研究中心了解,携程发生信息泄露原因如下:
      根本原因一:违反银联规定本地保存银行卡信息。携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。而根据《银联卡收单机构账户信息安全管理标准》中命令禁止本地保存银行卡信息。
      根本原因二:服务器安全配臵不严格。携程用于保存支付日志的服务器未做校严格的基线安全配臵,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问,遍历漏洞可导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV 码、6 位卡 Bin 等信息外泄。
      2013年中国网民在网上损失近1500亿元
      据中国电子商务研究中心(100EC.CN)监测数据显示,5亿手机网民对软件商搜集个人信息的风险浑然不知,65.5%的网站存在安全漏洞,2013年中国网民在网上损失近1500亿元。
      据中国电子商务研究中心(100EC.CN)监测数据显示,74.1%的网民在过去半年时间内遇到过信息安全问题,总人数达4.38亿,全国因信息安全事件而造成的个人经济损失达到了196.3亿元。因网上购物遇到过安全问题的网民达2010.6万人,其中因网购遭遇个人信息泄露和账号密码被盗分别为42.9%、23.8%。电脑网络支付时,资金被盗、被骗和账号密码被盗的比例达32.1%。
      非法收集用户信息并导致泄密
      或将面临行政处罚
      对此,中国电子商务研究中心特约研究员、浙江金道律师事务所张延来律师认为,非法收集用户信息并导致泄密的或将面临行政处罚。
      从携程对CVV码的收集和保留是否满足“合法性”原则的要求存在较大疑问;另外,从“必要性”原则的要求来看,收集和保留CVV码算不算是携程为用户提供服务所“必要”,也存在一定争议。因此,对于违法行为的确定性结论,最终要看是否有行政执法机关主动介入后的裁定或有受损用户起诉后法院的判决。
      法律要求网站收集和使用用户信息应当遵循“合法、正当、必要”三原则,对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施,否则都可能面临行政处罚或者用户的诉讼。
      网络支付安全与效率历来是“鱼和熊掌,不可兼得”,建议网络用户在进行电子支付时一定要遵循“安全******”的原则,选择安全措施较多的支付方式;小额支付如果考虑到快捷的需要应当尽可能在一些比较知名的网站上完成或选择第三方支付工具。
      携程事件折射法律空白
      携程泄密事件,在法律层面,带给我们更多的是反思和警醒。关于用户信息安全,相关法律是否完善?相关行业是否形成了相应的行业标准?司法机关对于相关类型的新型犯罪和纠纷,是否有了最起码的司法准绳?谁有责任向用户普及最基本的网络安全常识?诸如此类的疑问,已经成为现时亟待回答的问题,这也已经足够给各个部门敲响维护用户信息安全的警钟。
      对此,国内知名网购维权专家、中国电子商务研究中心法律与权益部姚建芳助理分析师认为,信息安全无小事,忽视必然付出惨重代价。
      针对广大互联网企业,包括网络购物企业,网络团购企业、网络支付企业、虚拟商品交易企业都能够重视用户信息安全问题,加强相关的数据安全保护、技术监管以及内部管理。,防止任何形式的信息泄露。一旦出现信息安全问题,尽早补救,以防事态严重,一发不可收拾。同时,一旦有可能威胁用户信息安全,应******时间告知用户,并且主动承担责任,给以相应的赔偿。
      监管部门,加强对互联网、电商、快递行业的监管,细化个人信息保护相关法律法规,做到完善立法,严格执法。

版权所有 Copyright(C)2009-2013 江苏天网计算机技术有限公司 苏ICP备16029720号

铁算算盘开奖结果记录资料