QQ账号登录
微信账号登录
微博账号登录消息来自乌云:携程安全支付日志可遍历下载导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。(类似IIS或Apache的访问日志,记录URLPOST内容)。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。其中泄露的信息包括用户的:持卡人姓名持卡人身份证所持银行卡类别(比如,招商银行显示全部
消息来自乌云:携程安全支付日志可遍历下载导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。(类似IIS或Apache的访问日志,记录URLPOST内容)。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。其中泄露的信息包括用户的:持卡人姓名持卡人身份证所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)所持银行卡卡号所持银行卡CVV码所持银行卡6位Bin(用于支付的6位数字)信用卡的资料全部被泄露了,但是更换信用卡的成本确实比较高,请问还有什么其他的替代方法可以在不更换信用卡的情况下尽量确保安全么?比如修改CVV感谢各位老师的回答!国外很多网站也有类似绑定了信用卡的功能,比如amazon,godaddy,linode等等,那么他们是采取什么方式来避免类似的情况发生收起
游客
|
2014-03-23
提问者对答案的预期:
20个回答
默认排序
- 默认排序
- 时间排序
携程不会是第一家泄漏信用卡信息的网站,更不会是最后一家,最有效的方法当然是,保险。
相较于携程的保存支付日志泄漏,更多境外酒店预订网站则更加无良,我就不点名了,他们甚至直接把你提交的信用卡信息直接转手给了酒店让其自行结算,于是信息泄漏与否不再是是否存在漏洞,而是人的操守问题。
于是,每回通过第三方网站预订酒店我总心惊胆战,再于是,我搜索到了这玩意。http://w4*********000.com/zaixiangoumai/baoxian/gerenzijinsunshibaoxian.shtml15元5万,25元可以承保10万元一年的损失,理赔范围包括信用卡,储蓄卡,网银,甚至第三方账户,再细看下竟然被胁迫透露密码竟然也算,这个是鼓励一旦出意
相较于携程的保存支付日志泄漏,更多境外酒店预订网站则更加无良,我就不点名了,他们甚至直接把你提交的信用卡信息直接转手给了酒店让其自行结算,于是信息泄漏与否不再是是否存在漏洞,而是人的操守问题。
于是,每回通过第三方网站预订酒店我总心惊胆战,再于是,我搜索到了这玩意。http://w4*********000.com/zaixiangoumai/baoxian/gerenzijinsunshibaoxian.shtml15元5万,25元可以承保10万元一年的损失,理赔范围包括信用卡,储蓄卡,网银,甚至第三方账户,再细看下竟然被胁迫透露密码竟然也算,这个是鼓励一旦出意
发布评论
匿名
支持上面@余弦的回答,从几个方面补充下,不要引发莫名的恐慌。
1,携程的错误是毋庸置疑的,且应追究其责任。
作为能接触到持卡人卡隐私信息的商户,一定通过了PCI认证规范,系统留存客户信息本就违反了规定,而以所谓调试等理由将一个能明文留存信息的系统挂到生产系统就更不可原谅了,何况还存在漏洞产生了信息泄漏。
在这件事情上,携程和其收单机构负有不可推卸的责任。
支持@南区熊猫的回答观点,携程应该自查所有受到影响的卡片信息,主动联系发卡行主动给这些持卡人换发新卡,并承担损失,才是正规的做法。只是发个信息说我家门开了,小偷只偷了点东西并烧毁了毫无作用,这个做法真心坑爹。
2,根据泄漏的信息来看,即使已泄漏,暂无风险。
我们来看一下泄漏的信息内容:
持卡人姓名
持卡人身份证
所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)
所持银行卡卡号
所持银行卡CVV码
所持银行卡6位Bin(用于支付的6位数字)
归结起来就是姓名,身份证,卡号,CVV。(卡类别和卡Bin是有卡号就足够判断了)
网上支付有以下几类
网银支付:缺少查询密码
快捷支付:缺少手机号和短信验证码
快捷支付绑定:缺少有效期,手机号,短信验证码
银联无卡支付:缺少有效期,手机号,短信验证码
电话订购:缺少有效期
双币卡境外购物:缺少有效期,部分还需要账单地址验证
综上所述,如果携程公布的信息真实,那么此次泄漏暂时不影响所有网络交易,不会产生风险。至于网上所谓提出的建议改密码毫无作用,因为信用卡网上支付除了网银模式,不涉及到密码!
3,补充处理方式
如果不放心,可以按以下方式操作
挂失换发新卡:卡号,有效期,CVV会变化,价格60元。
毁补换发新卡:卡号不变,有效期,CVV会变化,价格15—20元。
注销重新办卡:同挂失,费用为0。
PS:招商银行卡中心在这次事件后,已经启动紧急机制,给担心的用户免费换
1,携程的错误是毋庸置疑的,且应追究其责任。
作为能接触到持卡人卡隐私信息的商户,一定通过了PCI认证规范,系统留存客户信息本就违反了规定,而以所谓调试等理由将一个能明文留存信息的系统挂到生产系统就更不可原谅了,何况还存在漏洞产生了信息泄漏。
在这件事情上,携程和其收单机构负有不可推卸的责任。
支持@南区熊猫的回答观点,携程应该自查所有受到影响的卡片信息,主动联系发卡行主动给这些持卡人换发新卡,并承担损失,才是正规的做法。只是发个信息说我家门开了,小偷只偷了点东西并烧毁了毫无作用,这个做法真心坑爹。
2,根据泄漏的信息来看,即使已泄漏,暂无风险。
我们来看一下泄漏的信息内容:
持卡人姓名
持卡人身份证
所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)
所持银行卡卡号
所持银行卡CVV码
所持银行卡6位Bin(用于支付的6位数字)
归结起来就是姓名,身份证,卡号,CVV。(卡类别和卡Bin是有卡号就足够判断了)
网上支付有以下几类
网银支付:缺少查询密码
快捷支付:缺少手机号和短信验证码
快捷支付绑定:缺少有效期,手机号,短信验证码
银联无卡支付:缺少有效期,手机号,短信验证码
电话订购:缺少有效期
双币卡境外购物:缺少有效期,部分还需要账单地址验证
综上所述,如果携程公布的信息真实,那么此次泄漏暂时不影响所有网络交易,不会产生风险。至于网上所谓提出的建议改密码毫无作用,因为信用卡网上支付除了网银模式,不涉及到密码!
3,补充处理方式
如果不放心,可以按以下方式操作
挂失换发新卡:卡号,有效期,CVV会变化,价格60元。
毁补换发新卡:卡号不变,有效期,CVV会变化,价格15—20元。
注销重新办卡:同挂失,费用为0。
PS:招商银行卡中心在这次事件后,已经启动紧急机制,给担心的用户免费换
发布评论
匿名
携程反馈受影响的主要为3.21和3.22交易的客户,目前还没有更新的消息。
ps:持续观望!懒人不想换卡。哎
————————————分割线————————————————————
关心的人很多,因此补充下:
1、昨日被爆出漏洞后,主流媒体包括腾讯科技、新浪科技在新闻中都注明了携程方面反馈受影响客户为3.21及3.22交易的部分客户。
2、根据其他一些媒体报道,今年一月已经有顾客投诉携程网储存信用卡信息。
中新网视频今年一月携程已被曝出存在信用卡信息泄露风险:银联明文禁存信用卡信息携程称做法系国际惯例
3、以下为携程网官博置顶发布信息:
4、关于赔偿(官博给出的答复)
除此之外没有更详细的赔偿细节和措施之类的。因此,评论中已经被盗刷的知友可以拨打电话进行投诉备案。等待赔偿。
5、我个人是一张携程和招行的联名卡,在常用信用卡信息中没有数据。但据了解,说是凡是交易过了的信用卡都会自动抓取信用卡信息(未经证实)。现在的做法是将固定额度调至最低。等待官博公布的进一步细节。
6、Adobe、Target信用卡信息泄漏后出现了盗刷现象,因此,肯定有同为懒货的我的同仁
ps:持续观望!懒人不想换卡。哎
————————————分割线————————————————————
关心的人很多,因此补充下:
1、昨日被爆出漏洞后,主流媒体包括腾讯科技、新浪科技在新闻中都注明了携程方面反馈受影响客户为3.21及3.22交易的部分客户。
2、根据其他一些媒体报道,今年一月已经有顾客投诉携程网储存信用卡信息。
中新网视频今年一月携程已被曝出存在信用卡信息泄露风险:银联明文禁存信用卡信息携程称做法系国际惯例
3、以下为携程网官博置顶发布信息:
4、关于赔偿(官博给出的答复)
除此之外没有更详细的赔偿细节和措施之类的。因此,评论中已经被盗刷的知友可以拨打电话进行投诉备案。等待赔偿。
5、我个人是一张携程和招行的联名卡,在常用信用卡信息中没有数据。但据了解,说是凡是交易过了的信用卡都会自动抓取信用卡信息(未经证实)。现在的做法是将固定额度调至最低。等待官博公布的进一步细节。
6、Adobe、Target信用卡信息泄漏后出现了盗刷现象,因此,肯定有同为懒货的我的同仁
发布评论
匿名
其实更换信用卡还是挺简单的,比如招行的,直接打信用卡热线过去,就可以安排更换信用卡了,然后旧卡就会被冻结了。
碰到这种情况,除了更换信用卡,我没想到有比这个更好的方法。
碰到这种情况,除了更换信用卡,我没想到有比这个更好的方法。
发布评论
匿名
“hi,哥们我可以黑了你!
“去你的,别闹!
“喂,说真的我真的可以黑了你!
“....
“算了,不说了你还是今天看新闻联播吧
“........“我操...
“去你的,别闹!
“喂,说真的我真的可以黑了你!
“....
“算了,不说了你还是今天看新闻联播吧
“........“我操...
发布评论
匿名
除了换卡,没有任何有效招数。CVV2本来就是为了解决远程交易的问题出现的,它天生就是不安全的。CVV2被泄露,不光携程,很多国外网站也出过事。
强烈建议不要轻易在网上交易中使用CVV2方式,可以考虑一些替代:
用第三方支付、网银
有些银行提供虚拟信用卡,建议申请一张备网上支付用实在要用,找个对于盗刷申诉比较友好的银行,比
强烈建议不要轻易在网上交易中使用CVV2方式,可以考虑一些替代:
用第三方支付、网银
有些银行提供虚拟信用卡,建议申请一张备网上支付用实在要用,找个对于盗刷申诉比较友好的银行,比
发布评论
匿名
换卡。
说说换卡的经历。鉴于之前在携程上订过机票,看到新闻后第一时间打信用卡贵宾服务热线,我说携程泄密事件,让我决心换卡;接线员向我保证携程泄密时间没有影响,我还是选择换卡。其实就是先挂失,再补卡,全流程1分钟搞定。最后,接线员说,从今日起,该卡所有的盗刷风险由我行承担。听到这句话,我无比的欣慰。挂了电话
说说换卡的经历。鉴于之前在携程上订过机票,看到新闻后第一时间打信用卡贵宾服务热线,我说携程泄密事件,让我决心换卡;接线员向我保证携程泄密时间没有影响,我还是选择换卡。其实就是先挂失,再补卡,全流程1分钟搞定。最后,接线员说,从今日起,该卡所有的盗刷风险由我行承担。听到这句话,我无比的欣慰。挂了电话
发布评论
匿名
刚刚电联招行信用卡中心,客服人员非常爽快的帮忙把我的2张卡做实时停用和换卡处理了。
并且说很多用户都电话过去换卡了,招行正在积极配合换卡处理。
并且说很多用户都电话过去换卡了,招行正在积极配合换卡处理。
发布评论
匿名
换卡,无他。
——————————————————
写回答之前给了某个排名靠前的一个答案反对,回答后有人坚持批评我的吐糟和题目无关,那本人就展开回答,也算回应。
接下来所说的,纯粹是在假设信息已经泄露这种极端情况下的应对方案,不代表本人对携程此次事件风险大小的判断。如果你觉得自己不是或不会是此次泄漏事件的受害者,请无视所有啰嗦。
一、有没有别的好方法
答案是相同的——换卡,无他。
携程订票这种属于线上无卡交易。根据交易规则,持卡人仅需向商户(携程)提供自己的姓名拼音、卡号、有效期及卡片背后的CVV码就可以通过发卡银行的授权系统,完成交易。整个交易全电子化,非常简单,是信用卡便捷性服务的一种。而这些信息,是一张信用卡发卡后就确定的,不能改变的。如果是信用卡磁条信息泄露,还可以到银行经特殊的机器修改磁道中的验证信息,从而不用换卡,但用于网络交易的这些信息是没法更改的,因此只有换卡。
二、错误原因
银行的整个风控流程都是在做加法,也就是说极力避免让一个操作人员能够完成所有的操作步骤,甚至同一个环节的一个步骤,这也就是为什么银行柜台后面会有个主管在各个柜台人员背后走来走去,那是在做复核。正是因为非常简单,信用卡网络交易也就存在巨大的安全隐患——信用卡信息集中——泄露。
就携程这种服务方式而言,泄露有两种。其一,客户在网页或客户端自己填写信用卡信息;其二,客户通过人工客服报送信用卡信息。这两种流程中,携程的工作人员都可能知晓并记录客户信用卡完整交易所需信息,从而爆发风险。为了控制这种风险,就需要相应的规则,即:1)携程应该禁止客服人员通过客户口头告知交易所需信用卡信息;2)携程的计算机系统不应该存储上述信息。这就好比你去银行柜台取款,银行绝对不能允许柜台工作人员向客户索取密码然后帮你输入密码。
但是,携程这次就这样干了。携程的客服在日常工作中经常让客户口头报全部的交易信息,这次还擅自存储了交易信息,而且还是明文,还能被外部下载……这就令人无语了。另根据@田勇智的回答,携程根本就没有通过PCIDSS认证……感情在裸奔。
当然,如此犯二的不止携程一家,这种信用卡信息大规模泄露事件之前也曾有过。2013年12月19日,美国第二大超市TARGET宣布有4000万张卡片的信息被泄露(上海游客美国旅游回来遭伪卡境外盗刷损失逾3万)。2008年那次,一群黑客开着车子停在大型超市停车场,通过超市的无线网络侵入系统盗取了几千万张信用卡信息。这些事在美国都归保护总统的特勤处管(特勤处的大汉们真蛋疼)。
三、风险处理
如果此次携程违规存储的信息真的泄露了出去,那么有了这些信息,不法分子就可以轻松顺利地完成交易,银行也拦不住,按规则也没法拦。因此时间很宝贵,携程必须全力以赴尽快解决这一问题。
携程现在的声明说信息暴露时间很短,且未见除乌云外的其他人下载利用这些信息。对此外人无法判断真伪,不予置评。
除网站技术外,携程现在要做的是修排查那些客户的那些信用卡信息泄露了(如有),整理出来,通知泄露所涉及的客户,建议客户更换卡片。同时,联系各家受到波及的银行,告知泄露情况,请各发卡行对早泄露卡片做批次block处理。
就客户而言,如果你担心名列其中,特别是使用白金卡的各位土豪们,最好主动换张卡。如果客户告知银行自己的卡片信息可能泄露不安全,银行平时会很乐意帮助客户换卡(可以降低损失风险,省下防控成本)。只是考虑到携程的庞大用户量,这次如果主动申请换卡的客户太多,银行心里肯定也是一千万头神兽奔腾而过,态度怎样就不知道了。但再不济,客户自己想想办法,就说卡片磁条损毁,刷不出来了呗……
其实换个卡很简单,没有多么麻烦,别想得太严重。
四、附带吐糟
我还是要保留吐糟。因为工作需要,我也是携程的用户。作为一名前收单风控人员,我从一开始接触就发现携程客服人员在完成交易过程中存在的操作风险。明明可以手机按键输入卡片交易信息,却偏偏让客户口头报送(不知道是不是为了节约单笔业务通话时间),如果有工作人员手脚不干净,记录下这些信息,那可是可以卖钱的。再胆大些的,直接网络盗刷,买个游戏币或机票什么的,信用卡额度分分钟就被盗光了。
另外,携程的客服话术不精炼,导致单笔业务通话时间过长,浪费人力成本。航班票务信息系统过慢,经常查一个航班票务需要等很久。而这些信息用手机或网页在淘宝旅行、去哪儿网(纯举例非营销)等票务网站几秒钟就能搞定。订单不能合并支付,客服会在凌晨回电客户解决投诉问题等等等等……
操作风险、道德风险,都是相互关联的。流程及操作上没有问题,员工再坏也无从下手。之所以用自身的经历吐糟,包括吐糟其技术问题,是想说
——————————————————
写回答之前给了某个排名靠前的一个答案反对,回答后有人坚持批评我的吐糟和题目无关,那本人就展开回答,也算回应。
接下来所说的,纯粹是在假设信息已经泄露这种极端情况下的应对方案,不代表本人对携程此次事件风险大小的判断。如果你觉得自己不是或不会是此次泄漏事件的受害者,请无视所有啰嗦。
一、有没有别的好方法
答案是相同的——换卡,无他。
携程订票这种属于线上无卡交易。根据交易规则,持卡人仅需向商户(携程)提供自己的姓名拼音、卡号、有效期及卡片背后的CVV码就可以通过发卡银行的授权系统,完成交易。整个交易全电子化,非常简单,是信用卡便捷性服务的一种。而这些信息,是一张信用卡发卡后就确定的,不能改变的。如果是信用卡磁条信息泄露,还可以到银行经特殊的机器修改磁道中的验证信息,从而不用换卡,但用于网络交易的这些信息是没法更改的,因此只有换卡。
二、错误原因
银行的整个风控流程都是在做加法,也就是说极力避免让一个操作人员能够完成所有的操作步骤,甚至同一个环节的一个步骤,这也就是为什么银行柜台后面会有个主管在各个柜台人员背后走来走去,那是在做复核。正是因为非常简单,信用卡网络交易也就存在巨大的安全隐患——信用卡信息集中——泄露。
就携程这种服务方式而言,泄露有两种。其一,客户在网页或客户端自己填写信用卡信息;其二,客户通过人工客服报送信用卡信息。这两种流程中,携程的工作人员都可能知晓并记录客户信用卡完整交易所需信息,从而爆发风险。为了控制这种风险,就需要相应的规则,即:1)携程应该禁止客服人员通过客户口头告知交易所需信用卡信息;2)携程的计算机系统不应该存储上述信息。这就好比你去银行柜台取款,银行绝对不能允许柜台工作人员向客户索取密码然后帮你输入密码。
但是,携程这次就这样干了。携程的客服在日常工作中经常让客户口头报全部的交易信息,这次还擅自存储了交易信息,而且还是明文,还能被外部下载……这就令人无语了。另根据@田勇智的回答,携程根本就没有通过PCIDSS认证……感情在裸奔。
当然,如此犯二的不止携程一家,这种信用卡信息大规模泄露事件之前也曾有过。2013年12月19日,美国第二大超市TARGET宣布有4000万张卡片的信息被泄露(上海游客美国旅游回来遭伪卡境外盗刷损失逾3万)。2008年那次,一群黑客开着车子停在大型超市停车场,通过超市的无线网络侵入系统盗取了几千万张信用卡信息。这些事在美国都归保护总统的特勤处管(特勤处的大汉们真蛋疼)。
三、风险处理
如果此次携程违规存储的信息真的泄露了出去,那么有了这些信息,不法分子就可以轻松顺利地完成交易,银行也拦不住,按规则也没法拦。因此时间很宝贵,携程必须全力以赴尽快解决这一问题。
携程现在的声明说信息暴露时间很短,且未见除乌云外的其他人下载利用这些信息。对此外人无法判断真伪,不予置评。
除网站技术外,携程现在要做的是修排查那些客户的那些信用卡信息泄露了(如有),整理出来,通知泄露所涉及的客户,建议客户更换卡片。同时,联系各家受到波及的银行,告知泄露情况,请各发卡行对早泄露卡片做批次block处理。
就客户而言,如果你担心名列其中,特别是使用白金卡的各位土豪们,最好主动换张卡。如果客户告知银行自己的卡片信息可能泄露不安全,银行平时会很乐意帮助客户换卡(可以降低损失风险,省下防控成本)。只是考虑到携程的庞大用户量,这次如果主动申请换卡的客户太多,银行心里肯定也是一千万头神兽奔腾而过,态度怎样就不知道了。但再不济,客户自己想想办法,就说卡片磁条损毁,刷不出来了呗……
其实换个卡很简单,没有多么麻烦,别想得太严重。
四、附带吐糟
我还是要保留吐糟。因为工作需要,我也是携程的用户。作为一名前收单风控人员,我从一开始接触就发现携程客服人员在完成交易过程中存在的操作风险。明明可以手机按键输入卡片交易信息,却偏偏让客户口头报送(不知道是不是为了节约单笔业务通话时间),如果有工作人员手脚不干净,记录下这些信息,那可是可以卖钱的。再胆大些的,直接网络盗刷,买个游戏币或机票什么的,信用卡额度分分钟就被盗光了。
另外,携程的客服话术不精炼,导致单笔业务通话时间过长,浪费人力成本。航班票务信息系统过慢,经常查一个航班票务需要等很久。而这些信息用手机或网页在淘宝旅行、去哪儿网(纯举例非营销)等票务网站几秒钟就能搞定。订单不能合并支付,客服会在凌晨回电客户解决投诉问题等等等等……
操作风险、道德风险,都是相互关联的。流程及操作上没有问题,员工再坏也无从下手。之所以用自身的经历吐糟,包括吐糟其技术问题,是想说
发布评论
匿名
强烈反对大多数回答!
这个问题应该分开来看待。
首先,携程记录用户信用卡隐私信息这个行为是错误的,这个毋庸置疑。
其次,除了携程自己,任何与支付有关的公司都应该加强自己的安全性,这个实际上支付有关公司都很重视,只是有没有做好又是另一码事了。
再次,这次用户信用卡隐私信息泄露了多少我们并不知道,很多人过于紧张的原因是觉得:
白帽子找到了问题==泄露了携程应该会放出详尽的调查分析结论,比如:有没有泄露,泄露的范围是什么(几天内的?还是某些用户群体?)等等。
如果你真的太敏感,确实可以考虑冻结先,至于换不换卡,让子弹再飞会吧。
更新
厂家的应急是很及时的,回复也很中肯,坐等更多细节吧:
携程技术人员已经确认该漏洞,并在两小时内及时修复,对于乌云平台发现的漏洞信息表示感谢。该漏洞受影响的用户为近期的部份交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程旅行网始终对信息安全非常重视,对于此次漏洞事件如果有新的进展将持续通报。
这个问题应该分开来看待。
首先,携程记录用户信用卡隐私信息这个行为是错误的,这个毋庸置疑。
其次,除了携程自己,任何与支付有关的公司都应该加强自己的安全性,这个实际上支付有关公司都很重视,只是有没有做好又是另一码事了。
再次,这次用户信用卡隐私信息泄露了多少我们并不知道,很多人过于紧张的原因是觉得:
白帽子找到了问题==泄露了携程应该会放出详尽的调查分析结论,比如:有没有泄露,泄露的范围是什么(几天内的?还是某些用户群体?)等等。
如果你真的太敏感,确实可以考虑冻结先,至于换不换卡,让子弹再飞会吧。
更新
厂家的应急是很及时的,回复也很中肯,坐等更多细节吧:
携程技术人员已经确认该漏洞,并在两小时内及时修复,对于乌云平台发现的漏洞信息表示感谢。该漏洞受影响的用户为近期的部份交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程旅行网始终对信息安全非常重视,对于此次漏洞事件如果有新的进展将持续通报。
发布评论
匿名
主要是影响有国际支付功能的visamaster一类,因为这些卡在网站上输入信息就可以了不需要密码。然而国内对于保密追责这块并没有国外成熟,盗刷索赔银行基本不负责……所以还是祈祷苹果和亚马逊不要哪天把我给卖了
发布评论
匿名
打电话给银行冻结卡,换卡当然是最稳妥的方式。
但是对于我等懒人,有没有偷懒的办法?
换张卡花不花钱是小事儿,但是以前脑子里记的卡号要重新再记一遍,各种地方绑定的卡信息还得再弄一遍,有些留了卡信息自动缴费的还得换一遍。想想都头疼。
信用卡安全是谁的责任?
信用卡的信息本来就是公开印在卡上的,所以其实没有什么安全可言,理论上只有你刷过卡,卡的信息就已经暴露了,所以实体刷卡商铺有核对签名的责任,国内银行会建议你给信用卡设置密码,这明显是以安全的借口推卸责任啊,只要输对了密码银行就完全免责了。
网上消费(国外)根本不需要密码,难道盗刷的责任是我的?要这样就别把信息印卡上啊。
假设卡片的信息已经泄露了,那么几种可能被使用的情景。
做假卡,如果出现盗刷,打电话通知银行调签账单,核对笔迹,肯定是对不上的,商铺责任,持卡人免责。
网上刷,如果是走银联通道,除了卡片和持卡人信息包括查询密码外,印象中均要求手机短信验证码(这个有待确认),如果需要短信验证,应该是用不了的。
如果走外币通道(如VISAMASTERAE等)确实是只需要卡片和持卡人信息就可以通过,于是钱就被刷走了!
但是!但是!当钱被刷走的时候,你会收到短信或者微信的通知(这个国内银行的应该都有的对吧?)立刻打电话给银行,挂失卡片,然后拒付这笔款项。通常银行都有失卡保障,比如招行是挂失前48小时的消费(每年普卡1W,金卡1.5W,白金以上看额度),通常AE的比较好说话。
给你们讲个我自己的经历,就在不久前我用AE卡付了公司iOS开发者的费用$99,谁知道Apple这家伙没有当时扣我的钱,大概隔了有两三个月,某天突然手机上收到$99消费提醒,打电话过去查说是AppleOnlineStore(US),我就翻我最近什么都没买啊,肯定是卡被盗了,当时打电话给银行的时候就想着真烦还得换卡,跟银行直接说这笔消费不是我做的,银行让我联系Apple,我说我怎么联系啊,我都不知道是什么订单,银行说那好吧我们去调查一下,过了一个来星期钱就退回来了……你问我后来怎么想起来是那个iOS开发者的$99,当然不是我想起来的,之后的某天,那个开发者账号突然被停了,说我没交钱……
所以结论是如果不想换卡可以考虑打开消费提醒,先了解一下银行的政策,看情况把额度调低一些。如果真的被盗刷了,找银行索赔,但换卡是跑不了……
以上,未经
但是对于我等懒人,有没有偷懒的办法?
换张卡花不花钱是小事儿,但是以前脑子里记的卡号要重新再记一遍,各种地方绑定的卡信息还得再弄一遍,有些留了卡信息自动缴费的还得换一遍。想想都头疼。
信用卡安全是谁的责任?
信用卡的信息本来就是公开印在卡上的,所以其实没有什么安全可言,理论上只有你刷过卡,卡的信息就已经暴露了,所以实体刷卡商铺有核对签名的责任,国内银行会建议你给信用卡设置密码,这明显是以安全的借口推卸责任啊,只要输对了密码银行就完全免责了。
网上消费(国外)根本不需要密码,难道盗刷的责任是我的?要这样就别把信息印卡上啊。
假设卡片的信息已经泄露了,那么几种可能被使用的情景。
做假卡,如果出现盗刷,打电话通知银行调签账单,核对笔迹,肯定是对不上的,商铺责任,持卡人免责。
网上刷,如果是走银联通道,除了卡片和持卡人信息包括查询密码外,印象中均要求手机短信验证码(这个有待确认),如果需要短信验证,应该是用不了的。
如果走外币通道(如VISAMASTERAE等)确实是只需要卡片和持卡人信息就可以通过,于是钱就被刷走了!
但是!但是!当钱被刷走的时候,你会收到短信或者微信的通知(这个国内银行的应该都有的对吧?)立刻打电话给银行,挂失卡片,然后拒付这笔款项。通常银行都有失卡保障,比如招行是挂失前48小时的消费(每年普卡1W,金卡1.5W,白金以上看额度),通常AE的比较好说话。
给你们讲个我自己的经历,就在不久前我用AE卡付了公司iOS开发者的费用$99,谁知道Apple这家伙没有当时扣我的钱,大概隔了有两三个月,某天突然手机上收到$99消费提醒,打电话过去查说是AppleOnlineStore(US),我就翻我最近什么都没买啊,肯定是卡被盗了,当时打电话给银行的时候就想着真烦还得换卡,跟银行直接说这笔消费不是我做的,银行让我联系Apple,我说我怎么联系啊,我都不知道是什么订单,银行说那好吧我们去调查一下,过了一个来星期钱就退回来了……你问我后来怎么想起来是那个iOS开发者的$99,当然不是我想起来的,之后的某天,那个开发者账号突然被停了,说我没交钱……
所以结论是如果不想换卡可以考虑打开消费提醒,先了解一下银行的政策,看情况把额度调低一些。如果真的被盗刷了,找银行索赔,但换卡是跑不了……
以上,未经
发布评论
匿名
换卡,而且要卡号。不要怕麻烦。
因为不换卡号的话,有效期和CVV都能被试出来的。
登录携程网页版,依次进入
我的信息,常用信息管理,常用信用卡。
就能看到是哪张信用卡泄露了。全部换卡换号吧
目前招行的响应最快,免费换号换卡。
我只想说,周一携程的股票要大跌了。招行又会被大家称赞。
因为不换卡号的话,有效期和CVV都能被试出来的。
登录携程网页版,依次进入
我的信息,常用信息管理,常用信用卡。
就能看到是哪张信用卡泄露了。全部换卡换号吧
目前招行的响应最快,免费换号换卡。
我只想说,周一携程的股票要大跌了。招行又会被大家称赞。
发布评论
匿名
持卡人姓名(必须有用)
持卡人身份证(用处一般)
所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)(用处偏小)
所持银行卡卡号(必须有用)
所持银行卡CVV码(必须有用)
所持银行卡6位Bin(用于支付的6位数字)(用处一般)
结论:除了换卡,无其他方法。
请致电信用卡客服热线,然后要求换卡,换卡后卡号和CVV以及有效期都会改变,所以没有问题
另外因为这样的事情更换卡应该不收费,昨天看到有人招行交行免费换卡
持卡人身份证(用处一般)
所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)(用处偏小)
所持银行卡卡号(必须有用)
所持银行卡CVV码(必须有用)
所持银行卡6位Bin(用于支付的6位数字)(用处一般)
结论:除了换卡,无其他方法。
请致电信用卡客服热线,然后要求换卡,换卡后卡号和CVV以及有效期都会改变,所以没有问题
另外因为这样的事情更换卡应该不收费,昨天看到有人招行交行免费换卡
发布评论
匿名
CVV2是信用卡在互联网、电话交易的最后安全屏障,如果卡号、有效期和CVV2一起被泄漏,除了换卡没有任何解决办法。
再来说说这件事携程处理的不专业的地方,可能也是国内公司普遍的处理方式:
1.昨天事情在微博爆出后,携程官方微博发表如下声明:
我相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程对于乌云平台发现的漏洞信息表示非常重视和感谢并将对于提供漏洞信息者给与重奖。对于此次漏洞事件如果有新的进展将持续通报。我们可以看出,携程虽然对这件事情很重视,但是完全没有考虑到对持卡人和客户的影响,站在自己的立场上发表的这样一篇不痛不痒的声明。
2.今天早上7:11携程再次发表声明:
截图来自携程新浪官方微博该声明虽然态度比起第一次声明要好很多,但是依旧没有说明该事件到底可能影响到那些那些持卡人和客户,对持卡人和客户的建议是什么。
我的建议:
1.对于任何需要接收信用卡的公司都有可能发生此类事件,假如真的不幸发生此类事件后,相关公司应该完全透明的公开说明事件可能影响到的用户以及对用户具有可操作性的建议(承诺自己对盗刷进行赔偿就别拿来秀下限了)。
2.根据目前爆出来的消息,对于个人来说,如果你最近(例如一周或者一个月)在携程有使用信用卡交易,建议拨打你的信用卡客服电话,说明原因,请求银行帮你换一张新卡(卡号、有效期、CVV2会变)。
3.如果你觉得换卡太麻烦,或者你最近没有在携程使用过信用卡,建议持续关注此事或等待银行通知,如果客户信息泄漏需要换卡,一般银行也会主动联系你。
======================================================================
PS:我根据爆出的信息帮携程撰写一份声明,如果大家觉得比携程官方的好就点个赞吧:
3月22日乌云(WooYun)漏洞平台发布消息称:“携程安全支付日志可遍历下载,这一漏洞导致大量用户银行卡信息泄露,包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin。
该消息一经传出,我们便立即联系漏洞发布方进行沟通,并连夜彻查,发现漏洞是携程旅行网在3月21日的技术调试过程中,错误配置系统参数导致,目前已经修复该漏洞。
经日志审核发现,除了漏洞发现人做了少量的测试下载以外,目前尚没有发现该漏洞被其他人恶意利用。我们已经与漏洞发现人进行沟通并确认,要求漏洞发现人安全删除已下载的用户数据。
目前我们已经联系卡组织、各大发卡行说明情况,经证实,目前尚没有发现与该漏洞相关的用户信用卡被盗用的情况。
基于风险考虑,我们建议3月21、22日在携程旅行网有使用信用卡进行交易的客户,立即联系您的信用卡客服中心,说明情况并要求更换一张新卡。如果您在此次换卡过程中产生费用,携程旅行网将给予双倍补偿。
对此,我们向用户诚恳致歉,我们将进一步加强内审流程和风险控制流程,确保不再发生类似的事件。
======================================================================
补充答案:
对于互联网信用卡交易不管是否采用绑定还是每次输入的方式来执行,都存在同等的安全风险。国际上涉及信用卡交易的安全主要是要求相关企业通过PCIDSS来保证其系统和业务流程是相对安全可靠的,PCIDSS在2010年已经是强制要求,但是国内的特殊情况导致该标准在国内认知
再来说说这件事携程处理的不专业的地方,可能也是国内公司普遍的处理方式:
1.昨天事情在微博爆出后,携程官方微博发表如下声明:
我相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程对于乌云平台发现的漏洞信息表示非常重视和感谢并将对于提供漏洞信息者给与重奖。对于此次漏洞事件如果有新的进展将持续通报。我们可以看出,携程虽然对这件事情很重视,但是完全没有考虑到对持卡人和客户的影响,站在自己的立场上发表的这样一篇不痛不痒的声明。
2.今天早上7:11携程再次发表声明:
截图来自携程新浪官方微博该声明虽然态度比起第一次声明要好很多,但是依旧没有说明该事件到底可能影响到那些那些持卡人和客户,对持卡人和客户的建议是什么。
我的建议:
1.对于任何需要接收信用卡的公司都有可能发生此类事件,假如真的不幸发生此类事件后,相关公司应该完全透明的公开说明事件可能影响到的用户以及对用户具有可操作性的建议(承诺自己对盗刷进行赔偿就别拿来秀下限了)。
2.根据目前爆出来的消息,对于个人来说,如果你最近(例如一周或者一个月)在携程有使用信用卡交易,建议拨打你的信用卡客服电话,说明原因,请求银行帮你换一张新卡(卡号、有效期、CVV2会变)。
3.如果你觉得换卡太麻烦,或者你最近没有在携程使用过信用卡,建议持续关注此事或等待银行通知,如果客户信息泄漏需要换卡,一般银行也会主动联系你。
======================================================================
PS:我根据爆出的信息帮携程撰写一份声明,如果大家觉得比携程官方的好就点个赞吧:
3月22日乌云(WooYun)漏洞平台发布消息称:“携程安全支付日志可遍历下载,这一漏洞导致大量用户银行卡信息泄露,包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin。
该消息一经传出,我们便立即联系漏洞发布方进行沟通,并连夜彻查,发现漏洞是携程旅行网在3月21日的技术调试过程中,错误配置系统参数导致,目前已经修复该漏洞。
经日志审核发现,除了漏洞发现人做了少量的测试下载以外,目前尚没有发现该漏洞被其他人恶意利用。我们已经与漏洞发现人进行沟通并确认,要求漏洞发现人安全删除已下载的用户数据。
目前我们已经联系卡组织、各大发卡行说明情况,经证实,目前尚没有发现与该漏洞相关的用户信用卡被盗用的情况。
基于风险考虑,我们建议3月21、22日在携程旅行网有使用信用卡进行交易的客户,立即联系您的信用卡客服中心,说明情况并要求更换一张新卡。如果您在此次换卡过程中产生费用,携程旅行网将给予双倍补偿。
对此,我们向用户诚恳致歉,我们将进一步加强内审流程和风险控制流程,确保不再发生类似的事件。
======================================================================
补充答案:
对于互联网信用卡交易不管是否采用绑定还是每次输入的方式来执行,都存在同等的安全风险。国际上涉及信用卡交易的安全主要是要求相关企业通过PCIDSS来保证其系统和业务流程是相对安全可靠的,PCIDSS在2010年已经是强制要求,但是国内的特殊情况导致该标准在国内认知
发布评论
匿名
大部分信用卡,卡表面的卡号,有效期,安全码一旦泄漏,那在网上随便谁都可以刷你的卡了
拿你的信用卡去apple刷一个macpro,然后把你的剩余额度刷个几十套正版windows,分分钟刷爆你额度
什么,你设置了交易密码?那我告诉你交易密码只对银联有用,如果你是带VISA或者MasterCard标志的双币卡,走VISA或者MasterCard通道是根本不存在密码这个东东的,只要【卡号】【有效期】【安全码】三个数据泄漏,除了销卡换卡没有其他选择。
要是碰到交行这种不买他的用卡无忧险被盗刷不负责,买了用卡无忧,网上被盗刷仍然不负责的流氓银行,你哭都没地儿。
为什么外国人信用卡都没密码,为什么他们敢放心大胆的刷?
第一,国外商户刷卡时都会对照签名确保是持卡者本人,国外商户碰到外国游客会要求出示护照比对,否则会拒付。
第二,也是最重要的,美国规定个人承担交易损失不超过50刀,其余商家或者银行的风控买单,一旦持卡人被盗刷,商家和银行会买单,所以美国人敢放心大胆的刷。
但是这一切放到中国特色社会主义的大地就不管用了,出了事,商家自然不管,银行推卸责任。所以中国人各种网上支付还是以储蓄卡为主的,类似支付宝的第三方支付也设置了各种第三方担保交易啊,数字证书啊,既然咱们不是信用社会,只能
拿你的信用卡去apple刷一个macpro,然后把你的剩余额度刷个几十套正版windows,分分钟刷爆你额度
什么,你设置了交易密码?那我告诉你交易密码只对银联有用,如果你是带VISA或者MasterCard标志的双币卡,走VISA或者MasterCard通道是根本不存在密码这个东东的,只要【卡号】【有效期】【安全码】三个数据泄漏,除了销卡换卡没有其他选择。
要是碰到交行这种不买他的用卡无忧险被盗刷不负责,买了用卡无忧,网上被盗刷仍然不负责的流氓银行,你哭都没地儿。
为什么外国人信用卡都没密码,为什么他们敢放心大胆的刷?
第一,国外商户刷卡时都会对照签名确保是持卡者本人,国外商户碰到外国游客会要求出示护照比对,否则会拒付。
第二,也是最重要的,美国规定个人承担交易损失不超过50刀,其余商家或者银行的风控买单,一旦持卡人被盗刷,商家和银行会买单,所以美国人敢放心大胆的刷。
但是这一切放到中国特色社会主义的大地就不管用了,出了事,商家自然不管,银行推卸责任。所以中国人各种网上支付还是以储蓄卡为主的,类似支付宝的第三方支付也设置了各种第三方担保交易啊,数字证书啊,既然咱们不是信用社会,只能
发布评论
匿名
换新卡就可以解决了,这也是银行建议的做法!
广发银行2月25号电话通知我的卡片存在盗刷风险,建议我设置交易密码。我当然拒绝了,因为从来都是签名消费,当下还以为是银行为了推广设置消费密码而找的托辞。
在我拒绝之后广发竟然说既然如此可以帮我免费办理紧急挂失并且次日就用EMS寄新卡给我。听到这里我就知道事情有蹊跷了,就问客服为什么一定要换新卡。她说我曾经消费的商户涉及违规操作,有信息泄漏和盗刷风险。
于是我答应换新卡了,直到昨天新闻出来才恍然大悟。看来发卡银行早就收到盗刷报告和知道这整件事,只是新闻晚了快一个月才爆出来。
update:看来我的遭遇和推断没错,早在上个月下旬就有人开始被盗刷了:严茂军的微博|新浪微博<
广发银行2月25号电话通知我的卡片存在盗刷风险,建议我设置交易密码。我当然拒绝了,因为从来都是签名消费,当下还以为是银行为了推广设置消费密码而找的托辞。
在我拒绝之后广发竟然说既然如此可以帮我免费办理紧急挂失并且次日就用EMS寄新卡给我。听到这里我就知道事情有蹊跷了,就问客服为什么一定要换新卡。她说我曾经消费的商户涉及违规操作,有信息泄漏和盗刷风险。
于是我答应换新卡了,直到昨天新闻出来才恍然大悟。看来发卡银行早就收到盗刷报告和知道这整件事,只是新闻晚了快一个月才爆出来。
update:看来我的遭遇和推断没错,早在上个月下旬就有人开始被盗刷了:严茂军的微博|新浪微博<
发布评论
匿名
相关问题
更多相关问题-
经常刷信用卡对买房有影响吗?2022-10-10
-
农业银行卡不用了会自动注销吗2022-09-14
-
车贷信用卡还款完后还有用吗2022-09-08
-
支付宝借呗贷款额度一般是多少?2022-09-07
-
信用卡最低还款会影响征信吗2022-09-01
-
信用风险是什么意思?2022-08-19
-
信用卡分为哪些种类?2022-08-12
-
中国农业银行信用卡种类有哪些2022-08-02
-
信用卡的五大特征2022-07-29
