我认为携程的漏洞比乌云曝光的那些更危险!
因为这些漏洞是流程层面的。
3月23日,我借用别人的手机号拨打携程的电话4008206666,一位服务专员384409接待了我。
我表示,要订从上海去广州的票,这位专员用我借来的手机号注册了一个新的携程会员,姓名是被订票的乘机人D的。
携程专员向我问了乘机人D的姓名、身份证后,在携程专员的帮助下选好航班,准备定票。
在付款的时候,携程的服务专员将电话转至系统,在我输入了一个招商银行的卡号后,电话转回服务专员,服务专员讯问了该信用卡的有效期。(注意:我没有提供信用卡最后三位的数字!也没有提供信用卡主人姓名。)
服务专员表示:如果在30分钟之内支付成功,就可以了。因为银行要审核!
很快,一件可怕的事情出现了:我的手机几分钟之内就收到了信用卡被“预授权”的信息。
1490元钱被“预授权”!
而被刷的信用卡并不是登机人的!且我所给出的招商银行信用卡实际上已经是一张2013年年底刚刚更换的新信用卡,此前在携程上的最后一次订票记录为2013年3月。这意味着,招商银行没有核实CVV码的情况下,审核通过了这笔交易。
是的,在整个过程中,携程的服务专员从未核实过打电话的我的个人信息,没有核实过注册手机的机主是否为拨打电话订票的人,也没有核实过,打电话的人是不是乘机人。
这意味着:一、在携程上通过刷陌生人招商银行信用卡定机票,只要卡号和有效期两个信息;二、携程并未核实信用卡是否是乘机人本人的;三、携程并未采取任何措施向信用卡本人征询是否同意这笔交易。
23日晚,携程副总裁汤澜对我此次购票过程中产生的问题解释是,有的银行需要6个信息才能刷卡,但是招商银行可能只需要两个信息就能扣款。具体流程他也不熟悉,需要等待重听购票时的录音。
24日,携程公共事务部闫鑫回复我“信用卡的MOTO支付通道(即信用卡远程收款系统MOTO pay全称Mail Order andTelephone Order payment,主要为商家与消费者解决非面对面交易的支付问题),客人大多只需要提交完整卡号,有效期及校验码即可用于支付,此方式符合国际惯例并且是国际上通用的网络支付方式;国内电商如果是采用MOTO支付通道,都是按此方式。”
“部分信用卡发卡银行为了提高支付成功率及客人感受,仅需输入卡号及有效期即可支付,此并非源于携程的要求。”
我用自己的手机拨打携程客服时,得到的答案是,只要能证明是携程这方面泄露信息所导致的用户损失,携程负责赔偿。
但问题在于,即便是携程泄露的信息导致了用户损失,用户也几乎没有能力举证证明这一点——现在能够获得用户信用卡信息的渠道实在太多了。
24日上午,记者拨通招商银行信用卡服务中心,服务专员称,此前只接到21、22两天内用户的危险排查,目前没有接到电话的可以放心使用。但当经济观察网记者将23日的订单情况如实反应给招商银行信用卡客户服务中心时,服务专员表示要将此事转到相应部门再查询才能回复。
而如果记者要想冻结(保护)信用卡的使用,是可以的。但是如果每年刷卡不足6次,则需要付年费;如果要注销这张信用卡,也需要交纳60元钱。
那么携程的安全是技术问题,还是流程问题?乌云上的曝光是“第一次”,还是“又一次”?
