追问“携程信用卡门”:用户应换卡 携程或已违规
DoNews 3月25日特稿(记者 向密) “信用卡门”事件给携程带来的影响直接反映到了该公司的股价上。
截止25日凌晨1点,携程每股报收47.98美元,股价下跌3.05%。而在美股盘前交易中,截止北京时间24日17点07分,携程股价下跌5.27美元,报收44.22美元,较上周五收盘价下跌10.65%。
虽然离“携程信用卡门”发生已有三四天时间,但该话题仍然被广大用户和业内专业人士深入讨论。
如何安全使用信用卡?
乌云网此次公布的网络安全漏洞信息中指出,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。也就是说,携程或许保存了用户银行卡CVV码(卡背面三位数)、支付密码等重点信息。
尽管携程官方紧急“扑火”,表示已修复漏洞,并承诺给与全额赔付,但依然激起了多数用户的愤懑和不满。不过,在声讨携程之于,用户还应该采取什么措施来保护自身信息安全?
一位不愿具名的安全工程师表示,虽然国内网络支付都需要短信认证或U盾认证,而海外网站消费,由于银行有风控系统,一般也会打电话做二次确认,所以自认为即使信息泄漏,总体风险仍然可控。
而在其联系到招行和工行的信用卡负责安全的同学后被告知,有一种"信用卡无卡支付",靠泄漏的信息就可以实现盗刷。虽然仔细核对账单、关注刷卡短信、发现盗刷及时报警都可以避免盗刷风险,但网上盗刷的定性难度较大,银行是否会承担责任存在很大不确定性。
因此,该安全工程师建议,“如果已经泄露了过多的重要信息,换信用卡是最佳的选择。”
不过,该人士认为,安全性和便捷性本来就是矛盾体,在安全面前,更多人选择便捷,因此如果实在担心安全问题,最好的方式则是不要使用信用卡。
对于如何安全使用信用卡,金山毒霸安全专家也给出了一些建议:一方面,用户刷卡消费时,应确保卡片在自己视线内,并尽可能升级银行卡为芯片式,减少刷磁条卡的机会,避免银行卡被复制;
其次,输入信用卡密码时注意遮挡防止被偷窥,保护自己的信用卡信息不被商铺复制或者记录关键信息;
第三,信用卡消费最好凭签名,因为如果消费者的密码被盗用,而商铺又没有仔细检查消费单据签名与信用卡签名是否相符,银行可以推脱责任;
第四,利用信用卡线上消费时,要防范钓鱼网站骗取信用卡敏感信息,确保这些关键信息只提交给银行系统,而不提交给其他任何第三方网站;
第五,用户网购时不可随意接收和运行陌生程序,最好下载专业杀毒软件,对钓鱼网站和网购木马进行拦截和查杀。
携程行为是否违规?
在此次爆发的“携程信用卡门”事件中,还有一个被提及的重点则是,携程为什么要用文本将用户支付的记录保存下来。
根据中国银联2008年发布的《银联卡收单机构账户信息安全管理标准》2.1条,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。
对此,安全专家李铁军称,这次的事件并没有根本上解决风险的可能,因为从目前来看携程违反了银联此前禁止记录CVV的规定。"结合此前携程支付方面受到的安全质疑,携程在之前或还存在记录用户CVV的嫌疑。"
律师张延来更是明确指出,非法收集用户信息并导致泄密的或将面临行政处罚。
“从携程对CVV码的收集和保留是否满足‘合法性’原则的要求存在较大疑问;另外,从‘必要性’原则的要求来看,收集和保留CVV码算不算是携程为用户提供服务所‘必要’,也存在一定争议。因此,对于违法行为的确定性结论,最终要看是否有行政执法机关主动介入后的裁定或有受损用户起诉后法院的判决。”
张延来称,法律要求网站收集和使用用户信息应当遵循“合法、正当、必要”三原则,对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施,否则都可能面临行政处罚或者用户的诉讼。
另有法律人士认为,用户作为消费者,是《消费者权益保护》的保护对象。按照《消法》的规定,消费者在消费中享有安全权。这里的安全权不仅仅是指身体安全,也包括财产安全。携程明文保存用户密码信息的违规操作,违反银联规定,将用户的安全置于危险之地,用户的损失与携程脱不了干系。(完)