欢迎全国纺织服装企业免费注册推广
有机 棉纱价格  环保 棉纱 越南 印花 棉花
您当前的位置:首页 > 行业资讯 > 国内新闻
中国电子商务研究中心评携程“泄密门”
时间:2014-03-25 09:10:58  来源:中国电子商务研究中心  共有条评论


  一、事件背景:

  3月22日,国内网络安全问题反馈平台—乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露;漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV码(卡号、有效期和服务约束代码生成的3位或4位数字)等,上述信息可能被黑客读取。

  该漏洞发生在21日和22日,只是在22日晚间才被发现,因此这两日在携程网交易并使用信用卡支付的消费者可能会存在风险。

  23日,携程发布声明称,就携程存漏洞一事,目前确认共93人账户存安全风险,并已通知相关用户更换信用卡,并在其官方微博上表示,将给予这93名用户每人500元任我行礼品卡作为补偿。

  携程此举被指避重就轻,引发用户对互联网站,尤其是电商交易网站信息安全的普遍关注与焦虑。

  据中国电子商务研究中心了解,携程发生信息泄露原因如下:

  根本原因一:违反银联规定本地保存银行卡信息。携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。而根据《银联卡收单机构账户信息安全管理标准》中命令禁止本地保存银行卡信息。

  根本原因二:服务器安全配臵不严格。携程用于保存支付日志的服务器未做校严格的基线安全配臵,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问,遍历漏洞可导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。

  二、相关数据

  据中国电子商务研究中心(100EC.CN)监测数据显示,5亿手机网民对软件商搜集个人信息的风险浑然不知,65.5%的网站存在安全漏洞,2013年中国网民在网上损失近1500亿元。

  据中国电子商务研究中心(100EC.CN)监测数据显示,74.1%的网民在过去半年时间内遇到过信息安全问题,总人数达4.38亿,全国因信息安全事件而造成的个人经济损失达到了196.3亿元。因网上购物遇到过安全问题的网民达2010.6万人,其中因网购遭遇个人信息泄露和账号密码被盗分别为42.9%、23.8%。电脑网络支付时,资金被盗、被骗和账号密码被盗的比例达32.1%。

  三、相关法律/法规

  《网络交易管理办法》第十八条规定:网络商品经营者、有关服务经营者在经营活动中收集、使用消费者或者经营者信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络商品经营者、有关服务经营者收集、使用消费者或者经营者信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。

  网络商品经营者、有关服务经营者及其工作人员对收集的消费者个人信息或者经营者商业秘密的数据信息必须严格保密,不得泄露、出售或者非法向他人提供。网络商品经营者、有关服务经营者应当采取技术措施和其他必要措施,确保信息安全,防止信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。

  2013年中国人民银行发布的《银行卡收单业务管理办法》第二十八条:“收单机构不得以任何形式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息,并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息”

  2008年中国银联风险管理委员会发布的《银联卡收单机构账户信息安全管理标准》命令禁止本地保存银行卡信息:“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”

  《快递市场管理办法》规定:快递企业、快递从业人员不得违法泄露在从事快递服务过程中知悉的用户信息。违反该条款的,按《邮政法》相关条文予以处罚,即邮政企业、快递企业违法提供用户使用邮政服务或者快递服务的信息,尚不构成犯罪的,由邮政管理部门责令改正,没收违法所得,并处1万元以上5万元以下的罚款;对邮政企业直接负责的主管人员和其他直接责任人员给予处分;对快递企业,邮政管理部门还可以责令停业整顿直至吊销其快递业务经营许可证。

  四、专家观点:

  对此,中国电子商务研究中心特约研究员、浙江金道律师事务所张延来律师认为:

  ——非法收集用户信息并导致泄密的或将面临行政处罚!

  从携程对CVV码的收集和保留是否满足“合法性”原则的要求存在较大疑问;另外,从“必要性”原则的要求来看,收集和保留CVV码算不算是携程为用户提供服务所“必要”,也存在一定争议。因此,对于违法行为的确定性结论,最终要看是否有行政执法机关主动介入后的裁定或有受损用户起诉后法院的判决。

  法律要求网站收集和使用用户信息应当遵循“合法、正当、必要”三原则,对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施,否则都可能面临行政处罚或者用户的诉讼。

  网络支付安全与效率历来是“鱼和熊掌,不可兼得”,建议网络用户在进行电子支付时一定要遵循“安全第一”的原则,选择安全措施较多的支付方式;小额支付如果考虑到快捷的需要应当尽可能在一些比较知名的网站上完成或选择第三方支付工具。

  对此,中国电子商务研究中心特约研究员、浙江泽大律师事务所付勇勇律师认为:

  ——因商家过失导致消费者经济损失的理应赔偿

  根据《消费者权益保护法》的规定,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。

  在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。另外,《网络交易管理办法》也有相同的规定。如果由于携程网的过失,导致消费者经济损失的,理应承担相应的赔偿责任。

  对此,中国电子商务研究中心特约研究员、浙江六和律师事务所合伙人王红燕认为:

  ——携程有不可推卸责任,还需承担风险客户换卡成本

  保护用户信息安全,携程有不可推卸的义务和责任,应详细公布漏洞产生的原因、时间,并提示用户可能的风险,同时详细说明为什么会出现这样的问题。经过这些分析后,确定了用户可能有的风险后,还应建议用户如何规避或者降低风险以及风险发生后携程能够为这些用户做些什么。除了对已经有损失的用户承担赔偿责任,还需承担风险客户换卡成本。

  对此,中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人詹朝霞认为:

  ——违反银联规定承担完全责任,监管部门应彻查

  根据民法上的归责原则,银行卡用户资料被泄密,携程不仅应承担完全责任,由于其违反了银联的规定,还应接受监管部门的处罚。监管部门应彻查携程此次事件,并将所彻查情况公之于众,同时应要求携程在短时间内有一系列的有效诚恳的应对措施,以保障用户信用卡的安全。

  由此让人深思的是,技术上,信用卡的安全能否有其他更高更隐秘的保护手段?监管部门能否强制约束商家禁止记录用户的CVV码?一旦记录将有非常严厉的制裁措施?

  对此,中国电子商务研究中心特约研究员、辽宁亚太律师事务所董毅智律师认为:

  ——携程泄密的后果可能比CSDN泄密事件的后果要严重

  类似携程的泄密事件绝非个例。后有携程,前有CSDN。只不过CSDN被泄密的部分是历史数据库,不是金融数据;此次携程泄密的是正在支付的数据,是用户的银行卡信息。所以,携程泄密的后果可能比CSDN泄密事件的后果要严重。在CSDN事件之后,无论是用户,还是网站平台,对于用户的个人信息安全问题,是互联网发展的硬伤。如此严重的教训后不过两年光景,携程在同一块石头上在次绊倒,典型的“天作孽,犹可恕,自作孽,不可活”。

  ——携程事件,剑指泄密法律空白

  按照《消法》的规定,消费者在消费中享有安全权。携程明文保存用户密码信息的违规操作,违反银联规定,将用户的安全置于危险之地,用户的损失与携程脱不了干系。

  携程泄密事件,在法律层面,带给我们更多的是反思和警醒。关于用户信息安全,相关法律是否完善?网络安全中的刑事、行政、民事等各类法律关系能否界定?执法主体本身是否明确?用户信息泄露的归责怎样?被泄密的用户损失如何界定?相关主体是否提供了公平、安全的行为准则?相关行业是否形成了相应的行业标准?司法机关对于相关类型的新型犯罪和纠纷,是否有了最起码的司法准绳?谁有责任向用户普及最基本的网络安全常识?诸如此类的疑问,已经成为现时亟待回答的问题,这也已经足够给各个部门敲响维护用户信息安全的警钟。

  对此,国内知名网购维权专家、中国电子商务研究中心法律与权益部姚建芳助理分析师认为:

  ——信息安全无小事,忽视必然付出惨重代价

  针对广大互联网企业,包括网络购物企业,网络团购企业、网络支付企业、虚拟商品交易企业都能够重视用户信息安全问题,加强相关的数据安全保护、技术监管以及内部管理。,防止任何形式的信息泄露。一旦出现信息安全问题,尽早补救,以防事态严重,一发不可收拾。同时,一旦有可能威胁用户信息安全,应第一时间告知用户,并且主动承担责任,给以相应的赔偿。

  监管部门,加强对互联网、电商、快递行业的监管,细化个人信息保护相关法律法规,做到完善立法,严格执法。

  ——用户增强信息保护意识,网络支付需谨慎

  1、对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。不要回复或者点击邮件的链接。如果想核实电子邮件的信息,使用电话,而非鼠标;若想访问某个公司的网站,使用浏览器直接访问,而非点击邮件中的链接。

  2、留意网址。多数合法网站的网址相对较短,通常以.com或者.gov结尾,仿冒网站的地址通常较长,只是在其中包括合法的企业名字(甚至根本不包含)。

  3、避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙。

  4、使用网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。

  5、不要在多个网站使用相同的注册账户名以及登录密码,防止网络黑客有意盗取,造成多个网站个人信息的连环失窃。

  6、鉴于近来频频出现用户网银被盗等问题,建议最好有单独银行卡开通网银供网络消费使用,同时网银尽量不要选择工资卡等存款较多的银行卡。

  五、典型案件

  根据中国电子商务投诉与维权公共服务平台(www.100ec.cn/zt/315/ )近年来接到的用户投诉以及对监测,盘点近年来电商行业内出现的用户信息安全事件如下:

  事件一:5173中国网络服务网数次被“盗钱”。2010年1月20日,涉嫌盗窃罪的李豪被兰溪市检察院批准逮捕。经查,李豪前后一共盗取了100多个5173网站的账号,共获得赃款12万余元人民币。不法分子先在网上找寻有出售游戏币和游戏装备信息的5173网络账号,通过简单交易获知信息,再推算出网络账号密码,从而实施网上盗窃。

  事件二:当当网账户遭盗刷。2012年3月,当当网账户集体被盗,余额被用于购买电子产品、金银首饰等大额商品。当年6月13日,网名为“我是那个向日葵”的微博用户发布微博称,其购进的10张面值500元"当当网礼品卡",被盗充。2014年3月,当当网113位用户账户余额被盗用,损失金额超过6万元。而当当网对于用户账户被盗第一时间均是撇清关系,在舆论压力下才给以补偿。(详见专题:www.100ec.cn/zt/ddw)

  事件三:“1号店”员工内外勾结泄露客户信息。2012年5月底,微博用户挨踢客爆料1号店员工内外勾结泄露客户信息,90万的用户信息竟被以500元的价格叫卖。部分消费者不久后就遇到了账户余额被盗、电话诈骗等问题。之后1号店冻结用户账户。1号店副总裁刘彤回应:1号店在案发后已进行了内部检查,对系统、流程、权限进行了清理、升级,以杜绝日后类似事件的发生。被消费者质疑“很没有诚意”。直至2013年3月,仍有很多消费者称1号店对那次信息泄露事件的处理很不到位,至今仍没有得到应有的补偿。(详见专题:100ec.cn/zt/yhd )

  事件四:支付宝漏洞致信息泄露,官方回应都是买家。2013年3月27日晚,网友曝支付宝出现重大漏洞,称使用谷歌、360索则可以搜索出大量的支付宝交易记录,包括付款账户、收款账户、姓名、日期,甚至邮箱和手机号等,并附带上了Google搜索的截图和多个详情页的截图。该消息27日被大量转发后,支付宝官方于27日晚23时53分在微博中做了回应,称已做处理,这次有付款结果页面被收录可能是因为有极少量用户主动将自己付款结果页面分享到公共区域。该回应遭广大网友质疑。(详见专题:www.100ec.cn/zt/anl_2013zfb/ )

  事件五:如家、七天开房信息泄密。2013年10月,如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露,只需输入姓名或身份证号,即可查询到包括身份证号、生日、地址、手机号、邮箱、公司、登记日期等真实信息。事发一周前,国内安全漏洞监测平台乌云发布报告,称多家酒店开房记录被无线上网认证管理系统供应商——浙江慧达驿站网络有限公司存储,并因系统有漏洞而存在泄露隐患。(详见中国电子商务研究中心后续专题:www.100ec.cn )

  事件六:腾讯7000多万QQ群遭泄露,全隐患危及微信支付。2013年11月20日,国内安全漏洞监测平台乌云公布报告称,腾讯QQ群关系数据被泄露,在迅雷快传很轻易就能找到数据下载链接。根据QQ号,可以查询到备注姓名、年龄、社交关系网甚至从业经历等大量个人隐私。腾讯方面亦承认7000多万QQ群遭泄露。对此,业界均担忧泄露事件将直接牵连微信安全问题。“黑客一旦掌握了QQ号码和银行卡号,就能注册微信并使用微信支付,盗取用户资金几乎是轻而易举的事情。”

  事件七:携程技术漏洞导致用户个人信息、银行卡信息等泄露。早在2009年之前,携程信息安全漏洞就已经多次被用户质疑,但均未引起公司足够重视。2014年1月携程再次被媒体指出储存信用卡敏感信息存在泄露风险,携程网回应采用的信用卡支付方式符合国际惯例,对自身的信息安全问题再次选择忽视。2014年3月22日下午18:18分,乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露。漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),上述信息有可能被黑客所读取。

  事件八、快递单贩卖称灰色产业链。快递单成为又一信息泄露途径,“淘单114”、“淘单网”、“淘单8”、“单号网”等网站明码标价出售快递单号,0.5元就可买到一份快递信息,快递单号贩卖俨然已经成为一条灰色产业链。而数量庞大的淘宝卖家成为快递单号的重要来源之一,目前有近90%的淘宝卖家都在刷单,用真实的快递单号“炮制”出逼真的虚假交易。

  六、联系分析师

  张延来律师

  中国电子商务研究中心特约研究员

  浙江金道律师事务所电子商务部律师

  《2011-2012年度中国电子商务法律报告》主编

  ·研究领域:网络知识产权、第三方平台治理、互联网品牌、电子证据与认证、电子支付、云计算法律规则、个人数据与隐私、电子税收、电子商务方法专利、技术性问题与实践经验、法律政策解读、淘宝网规、假冒伪劣诉讼、官司点评等电子商务细分和主要应用领域。

  ·专家专栏:www.100ec.cn/detail_man--307.html

  ·TEL:0571- 8700 7197

  ·传真:0571 -8700 6661

  ·E-mail:zyl@zjblf.com、zhangyanlai@gmail.com

  付勇勇律师

  中国电子商务研究中心特约研究员

  浙江泽大律师事务所律师

  ·研究领域:同法、公司法、证券法等相关领域等

  ·专家专栏:www.100ec.cn/detail_man--343.html

  ·E-mail:122317774@qq.com

  ·TEL:0571-87699576

  ·手机:13958199713

  王红燕律师

  •中国电子商务研究中心特约研究员浙江六和事务所合伙人、律师

  •研究领域:电子商务、连锁经营、知识产权、并购、涉外相关法律。

  •E-mail:wanghy@liuhelaw.com

  •TEL:0571-87206716

  ·手机:13805790063

  詹朝霞律师

  中国电子商务研究中心特约研究员

  广州金鹏律师事务所合伙人律师

  ·专家专栏:www.100ec.cn/detail_man--340.html

  ·E-mail:zzx@kingpound.com

  ·TEL:020-38390333

  ·手机:13808884971

  董毅智律师

  中国电子商务研究中心特约研究员

  辽宁亚太律师事务所律师

  ·研究领域:企业投资近日、电子商务、企业法律风险的防范于评估等

  ·专家专栏:www.100ec.cn/detail_man--337.html

  ·E-mail:109215871@qq.com

  ·TEL:0411-39588260

  ·手机:138 8955 0957

  姚建芳助理分析师

  中国电子商务研究中心法律与权益部助理分析师

  •负责:电商投诉、法律、安全、物流、保险等

  •TEL:0571-87397953

  •QQ:2807872373

  •E-mail:yjf8936@netsun.com

  •专栏:www.100ec.cn/zt/fxs/

  ●关于中心

  中国电子商务研究中心(China e-Business Research Center),于2006年底在“中国电子商务之都”杭州创办,是我国最早创办、也是目前唯一一家以研究、传播与服务电子商务、网络营销、中小企业应用为己任的第三方行业研究、服务机构。