携程“漏洞门”暴露网上支付隐忧

    ■龚雯  王淑娟

    日前，乌云（WooYun）漏洞平台发布消息称：“携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器，有可能被黑客所读取。”

    不少消费者对于许多消费网站需要提交诸多个人信息的行为一直存有不满和担忧，但为了便利只能无奈“全盘接受”。携程网此次暴露的信息漏洞，犹如打开了移动支付的“潘多拉魔盒”。对此，携程立即展开技术排查，称已在2小时内修复了这个漏洞，携程的技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。

    这次暴露出来的漏洞意味着，携程将信用卡持卡人的这些信息都编辑成库，进行了储存。这些本来只能是持卡人自己才能知道的信息一旦被泄露，很有可能会造成大面积的盗刷。实际上，不仅是携程，大多数国外网站的信用卡付款都是仅需提供卡号、有效期、用户名和CVV密码，就能实现在线支付，因此这些信息对于持卡人来说非常重要。

    按照中国银联风险管理委员会《银联卡收单机构账户信息安全管理标准》要求：“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码（PIN）及卡片有效期。”银率网分析师华明表示，这说明，携程实际上违规储存了用户信息。

    中国互联网协会信用评价中心法律顾问赵占领表示，网站要求用户填写一些敏感信息，可以理解是为了保护用户的交易安全，但如果随意进行存储，就要看其是否满足两点：一是消费者知情同意；二是与其提供的服务有必要联系。

    事实上，购物网站、快递单、支付宝等第三方支付工具、酒店会员登记等都有可能成为信息泄露的源头，让消费者“赤身裸体”地出现在陌生人面前。这也是为何不少消费者在携程漏洞曝光后忧心忡忡的原因。对他们而言，类似携程这类网站，即便是将信息保存完好，如何保证有权限查看这些信息的内部员工不会发生道德风险，不把这些信息泄露出去？

    “携程网安全漏洞被披露，暴露了其违规存储用户信用卡信息的问题。存在这种问题的，不止携程网一家。这些商户将所谓的‘国际惯例’拿来套用，是在混淆视听，‘国际惯例’不能成为违反国内有关部门规定的挡箭牌。”华明说。据中国电子商务投诉与维权公共服务平台监测，2013年当当网、1号店、国美在线、窝窝团、聚美优品、拉手网等购物网站都是用户账户被盗的重灾区。

    令人担忧的是，个人隐私一旦泄露很难收回，信息泄露后有可能被再次贩卖，很多隐私信息无法更改，这导致隐私泄露后，用户很难追回，只能任由其传播。因此，隐私安全的前期保护非常重要，而它更是一个社会工程，需要全社会共同参与，从法律法规、行业规范、安全教育多个方面共同改善。

    专家表示，从《中华人民共和国刑法修正案（七）》到新消法，中国关于个人信息保护的法律法规并不缺。比如“出售或者非法提供给他人，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金。”“经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。”

    “但对于个体而言，遇到信息泄漏时往往处于举证困难、维权得不偿失的弱势地位。”赵占领说，从刑事、行政、民事责任角度看，在实现安全与便利的过程中，关键还在于行政部门进一步加大执法力度。

    中国电子商务研究中心法律权益部助理分析师姚建芳表示，监管部门要加强对快递、电商行业的监管，细化个人信息保护相关法律法规，做到完善立法，严格执法。同时，广大用户也要提高互联网信息安全意识，不要在多个网站使用相同的注册账户名以及登录密码，防止网络黑客盗用。