乌云披露携程网用户信息泄露 ■制图/陈琮元
携程网声明
网络信息泄露事件盘点
酒店开房信息遭泄露
2013年10月14日,国内安全漏洞监测平台乌云发布报告称,如家、汉庭等大批酒店的开房记录,包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息因第三方存储平台的漏洞而遭泄露。
浏览器泄露用户隐私
2013年11月6日,多家媒体爆料使用QQ账号登录搜狗浏览器,可以查看到数千其他用户的个人账号,包括QQ、邮箱、支付宝、银行等涉及用户财产的账户信息,甚至可以直接进入其他人的支付宝进行转账购物,或者直接进行支付交易。
QQ用户信息秒查
国内安全漏洞监测平台乌云2013年11月20日公布报告称,腾讯QQ群关系数据被泄露,数据下载链接很轻易在迅雷快传找到。根据QQ号,可以查询到备注姓名、年龄、社交关系网甚至从业经历等大量个人隐私。
3月22日晚,网上传出消息,携程网网站有安全漏洞,银行卡信息存泄露隐患。长沙市民张女士是该网站的忠实会员,多次通过该网站订机票和酒店,她拨打本报热线96258咨询:万一银行卡泄密,应该怎么应对?
携程网官方微博目前承认确实存在该漏洞,并称已在2个小时内及时修复,该漏洞受影响的用户为近期的部分交易客户,目前并没有用户因此造成相应财产损失的情况发现。携程承诺倘若发生安全漏洞并引起用户损失,将承担全部责任并给予赔付。信息安全专家提醒:为安全起见,市民可立即申请银行卡停卡。
用户证卡信息全泄露
“我昨天还在携程网上找旅游的信息,今天一大早就看到银行卡信息泄露的事,好担心。”张女士从2010年开始就在携程网上订机票、酒店,不下数十次。
3月22日晚,乌云平台称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。乌云方面的报告称,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码等,上述信息有可能被黑客所读取。
“如果这些信息被不法分子掌握了,意味着什么?对我们这些会员会造成哪些影响?”张女士看到消息后心里一紧,可又不知道该怎么办。消息出来后,不少网友也联系银行客服更换信用卡。网友“眼前的黑不是黑_那是金钟仁”吐槽:半夜四点多打电话换银行卡这种事还是第一次,银行客服一直忙,打通后一听是携程的事马上就给免费换新卡。
尚未因泄露造成损失
携程方面表示,得知系统可能存在漏洞的消息后,公司立即展开了技术排查并在消息发布两个小时内修复问题。此次漏洞事件如有新进展,携程将持续通报。
3月23日下午2点22分,“@携程旅行网”官方微博也给出最新回应:“经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前这些信息已被全部删除。”该申明称,此次测试下载涉及93名存在潜在风险的携程用户,已通知这些客户更换信用卡,目前没有发生用户信用卡被盗刷的情况;截至23日晚10点没有接到携程客服换卡通知的用户,个人信息均是安全的。网站承诺,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
记者在中国银联官方网站上看到,为防范由收单网络引发的账户信息泄露风险,2008年就印发的《银联卡收单机构账户信息安全管理标准》中明确规定,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。
专家建议
立即申请停卡或挂失
记者就此事咨询了资深网络信息安全专家,该专家指出,如果不法分子真的掌握了持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息,就意味着不法分子即使没有密码和签名,一样可以消费、可以畅通无阻的盗刷。建议用户拨打对应银行的客服电话申请停卡,或直接办理挂失。
■三湘华声全媒体 记者 姜润辉
安全提醒
银行卡信息泄露如何应对
面对银行卡信息被泄露的情况,持卡人不妨考虑通过换卡、更换密码等方式来保证自己的安全。
密码勿含个人信息
对于很多持卡人而言,一般在设置密码已知晓不要使用自己的生日相关数字进行设置,但由于央行的征信报告中除了包含有个人生日信息外,还包括了家庭电话、地址、手机等信息,因此一旦客户的这些个人信息被泄露后,他人可以凭借这些有效信息,通过不同的数字组合猜出账户密码,从而实现转移资金的目的。
为了确保自己的个人信息在泄露后,银行密码还能处于安全状态,建议持卡人在设置密码时,不要使用与个人现用信息相关的数字和字母,即使为了方便记忆,也尽量使用诸如读书时的学号等现在已较难查询的信息。特别需要提醒的是,部分持卡人将配偶或家人的生日作为密码,其实这同样不安全,因为在很多时候,个人信息资料上会同时出现配偶的身份证号码,因此建议大家不要交叉使用,以免损失更大。
关闭网银转账系统更安全
如果为了追求安全性,除了设置高强度的密码外,更为安全的方法是将自己存有大额资金银行卡关闭网上转账功能,由于他人一般情况下,在没有身份证的前提下,基本无法通过银行柜面提取大额现金,同时ATM机取款单日也有一定限制,因此不可能出现短期内大额资金的外泄。
当然,也有持卡人担心若关闭网银则无论是购买理财产品还是消费都会不太方便。对此不用担心,目前各家银行的网银是可以单独关闭转账功能的,购买理财产品等不受影响。
信用卡可以设置一元上限
考虑到客户资料泄露后,信用卡的危险性更高,建议不妨可以考虑销卡或直接要求更换新卡,以确保自己的账户安全。为了防范可能因信息泄露导致的信用卡被盗用的状况,建议广大持卡人可以将网络消费的上限设置为一元,这样可以避免损失,等需要网络购物时,再调整自己的消费权限。
■据新闻晨报
安全连线
利用马航事件盗号 2万网友“遇袭”
马航MH370客机失联已两个多星期,就在人们牵挂失联航班最新进展的时候,社交网络上却有不法分子利用马航事件发起盗号攻击。
根据360等多家网络安全厂商监测,病毒团伙把盗号木马伪装为事件相关报道、图片压缩包,再通过QQ和论坛等渠道传播。近期仅360对此类盗号木马拦截量就超过2万次。据悉,盗号木马压缩包文件名大多为“失联客机残骸遭马方隐藏.tar.gz”、“马航失联客机澳洲坠落残骸照片.zip”等,解压缩后其实是披着图标外衣的exe可执行程序。如果网友电脑没有开启安全软件保护,双击运行就会中招。
反病毒工程师分析发现,盗号木马运行后,首先会强制关闭QQ聊天软件,再弹出一个虚假的QQ登录窗口,诱骗受害者“重新登录”。如果在此窗口输入账号密码,数据就会直接发送到黑客服务器上。黑客盗号后除了窃取虚拟装备财产,还可能假冒身份对受害者亲友实施诈骗,造成更严重的侵害。
据了解,MH370被木马病毒利用并非偶然事件。此前就有专家表示,有黑客通过社交网络发布携带恶意视频链接,内容包括“马航失踪客机MH370在海上发现——50人生还”等类似的视频、图片资源,以社交网络蠕虫形式快速传播恶意链接。
安全专家提示,利用热点事件传播木马病毒和恶意网站是黑客的常用伎俩,网民不可轻易点击陌生人发布的可疑链接和文件,如遇到安全软件报警应按照提示清除木马,以免账号被盗蒙受损失。
■据新华社
责编:周舜
来源:华声在线
