世界商业报道 > 商业报道 > 商业揭秘  
 
中国商讯 国际商讯 商业内幕 消费真相 公司经营 公司消息 城市话题 商业评论 风险投资 商务政策 中外富豪 焦点人物 名人语录
 
外汇 广告 婚庆 电脑 外贸 域名 投资
设为首页 加入收藏
携程“泄密事件”:客户信息被竞标
2014-03-31 08:57 来源:世界商业报道  
摘要:国内知名在线旅游网站携程旅行网22日被曝用户信用卡信息泄露之后,当日进行了紧急处理,通知泄密信息用户更换信用卡,并称公司支付是安全的。携程最新声明称,将对支付流程进行整改,不再保存客户的银行卡CVV信息(用来验证信用卡),以前保存的CVV信息正在删除。

【世界商业报道-讯】国内知名在线旅游网站携程旅行网22日被曝用户信用卡信息泄露之后,当日进行了紧急处理,通知泄密信息用户更换信用卡,并称公司支付是安全的。携程最新声明称,将对支付流程进行整改,不再保存客户的银行卡CVV信息(用来验证信用卡),以前保存的CVV信息正在删除。

  携程的技术研发部和信息安全部在业界颇具声名,完全自建的携程IT系统包括网站系统、在线交易系统、采购系统等子业务系统,从复杂性上来说,能与之媲美的唯有淘宝。

  但关键是技术研发部与信息安全部之间存在微妙的博弈关系,携程的漏洞表面上源于部门员工偶然的失误,实际则是OTA(在线旅游代理)企业恶性竞争的必然结果。

  携程泄密只是撕开了多年来这个行业风险的一个口子。曾在大型旅游公司工作六年、担任运营部门负责人的相关人士透露,“合规做法是用户卡信息系统不得记录,但实际上内部系统保存下来直接存到数据库了,而且一般都是永久性保存,而不是定时删除。信息的安全全靠职业操守和行业自律。”但问题是行业和其从业人员能真的做到吗?

 

  同行私下竞标优质客源

  虽然携程声明将删除以前保存的CVV信息,但其他公司的合规性却难以确定,隐患仍存。“很早我就发现我们公司(指他原来就职的差旅公司)记录了上万张信用卡信息,而且每天都以几百张的速度增加,”该相关人员表示,所有信息全部存在数据库里面。

  “只要是国内做电话支付的差旅公司,都会记录下客户的信用卡全部信息,”他透露,这是为方便常旅客下次消费直接调出记录支付。除电话支付外,部分网上支付同样需要提供信用卡信息。如果网站也做了记录保存,和电话支付性质一样。

  除了信息泄露的风险,令人瞠目的是,这些留存的用户姓名、身份证、所持银行卡类别、卡号、CVV等信息因其能帮助挖到优质客源还成为同行私下竞买的标的。相关人士透露,曾经就有人私底下找他买数据,但被他拒绝了。那时他所在的公司有5000条高端客户信息。据他称,信息按条数卖,价格从500元-2000元不等。为了不被其他差旅公司发现,通常买方不会全买,而是买几百条打乱顺序的记录。

  “这全靠职业操守。”大多数旅游公司IT部门管理都不严格,很多新人进来也可以碰触到这些信息,备份整库都可以。携程暴露的问题,不仅仅是疏忽泄露信息这回事,而是支付流程风险和管理问题。同样地,包括直接向航空公司购买机票时,用信用卡支付时依然需要向客服操作人员提供信用卡号和CVV码。

 

  携程事件只是冰山一角

  无卡无密码便可支付的信用卡支付已是普遍现象。不管你是在携程网,还是在同程网、艺龙网、芒果网等OTA网站,使用信用卡支付时同样只需要卡号、有效期和CVV码,并不需要密码和卡。

  “无卡无密这种支付方式是合理存在的,是行业规定的。像酒店预订,以及携程和类似的商旅网站通常会使用。原则上来讲,商旅网站不应该保存CVV等信息,这是违规的,但银行方面不了解网站是不是这样做。”建行信用卡部办公室工作人员说。而招行信用卡专员也肯定了这一说法,并称采用这种支付方式的渠道很多,目前无法提供一个完整的列表。国外交易网站大部分也是通过卡号、卡面有效期、背面后三位码就可以完成了。但有些网站需要万事达或VISA验证服务的话,会要求输入查询密码来验证。

  但携程的错误在于违规保存客户敏感信息如CVV码等,这明显违背了央行规定。

  根据央行《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。

 

  为什么偏偏是携程?

  既然无卡无密码支付是行业常态,这个信用卡支付的“漏洞”早就有媒体曝光,但为什么携程的一个“漏洞”却引起如此大的关注和讨论?

  “一是跟公民的财产有关系,用户很在意;二是信用卡的快捷支付很方便,跟银行卡不同,信用卡甚至都不用密码;三是这个事情有很多黑公关炒作的成分在里面,大肆渲染,不负责任地放大这件事。你有听说这几天有谁被盗刷了吗?”业内人士表示,作为安全圈的一员,他直言黑客根本不会盗刷炒作得人尽皆知的事情。

  作为在线旅游市场的龙头,携程的用户波及面极广。据悉,每天在携程订票的人数约80多万。

  从2012年艺龙挑衅携程引起国内OTA价格战开始,携程就被动地处在各个小OTA公司的联合围剿中,先后投入这场战争的有艺龙、同程、去哪儿、芒果等。

  恶战一年多后,OTA的格局并未改变。携程虽然折兵损将,但依然稳居老大地位,2013年的财报也颇为亮眼,根据财报显示:携程2013年净营业收入为54亿元人民币(约合8.9亿美元),相比2012年增长30%。而艺龙2013年净亏损1.68亿元创下历史新高。

  除了真金白银的价格战,口水战也几乎没有停止。携程此次出现如此低级错误,更是难得的反击时机。

  抛开行业竞争的大环境,携程本身携带“违规擦边球”的基因也许早就为此次事件埋下了伏笔,看似偶然的事件也凸显了必然性。

  携程正是从“违规”中诞生的。十年之前,从行业来说,跨地区买飞机票是违反规定的,但携程却敢于推出一个全国性的网络订票平台。“这个违规是商业规则不成熟的表现。为什么要改革,就是要改掉这些不合理,看上去合法,实际上它真的是违规的东西。所以携程十年前做了这样一个突破。”

  而携程对本次事件最新的处理决定是:“我们将会按照监管部门的要求,尽快优化完善用户的支付流程。加强内部排查所有可能存在漏洞,邀请国内知名网络安全专家对携程系统进行会诊。同时,我们已经启动了CFCA和PCI的认证程序,以期更好地符合监管要求。”

  问题是,此前携程曾有意向接入该认证程序,但是公司工作人员去考察之后发现,携程自身系统要整改难度太大,业务种类多且交叉多,如果按照该系统接入而整改会使架构都会有所变化,导致至今未引入CFCA和PCI认证标准。

  而接下来,携程面临的不仅是引入PCI-DSS标准的技术考验,更是如何重树安全支付信任、重拾消费者信心的问题。【世界商业报道-biz.icxo.com】

关键词:携程   泄密   信用卡   竞标   客户信息
  评论 文章“携程“泄密事件”:客户信息被竞标”
1、凡本网注明“世界经理人”或者“世界商业报道”的作品,未经本网授权不得转载,经本网授权的媒体、网站,在使用时须注明稿件来源:“世界经理人”或者“世界商业报道”,违反者本网将依法追究责任。
2、凡注明“来源:xxx(非本站)”作品,不代表本网观点,文章版权属于原始出处单位及原作者所有,本网不承担此稿侵权责任。
3、欢迎各类型媒体积极与本站联络,互相签订转载协议。
4、如著作人对本网刊载内容、版权有异议,请于该作品发表30日内联系本网,否则视为自动放弃相关权利。
5、联系我们:contact@icxo.com;投稿邮箱:article@icxo.com,欢迎赐稿。
相关阅读
 PPTV人事变动之谜:联想前高管吕岩出任PPT
 85度C颠覆“星巴克模式”,反向定位强调“平价
 探寻公平价与车易拍“联姻”背后真相
 阿里砸62亿港币,控股文化中国
 企业管理的简繁之道
 微博兜售PE产品涉嫌非法集资 中石油项目卷入其
邮件订阅: