因为技术人员的疏忽,93个用户预订机票时暂存于预订后台的CVV信息被黑客发现,由此引发了携程的“安全门”事件。CVV(用户识别码)是印在信用卡上、信用卡号后的3位数字,作用等同于信用卡密码。技术大咖纷纷表示,携程犯了“低级错误”,虽然这不代表其系统确实有漏洞,但小问题可能酿成大错。
事情的发展方向已经不只是携程一家企业的问题这么简单,一批在线旅游网站、各种电商网站,还有银行的信用卡中心也都被牵连其中,互联网支付的安全问题引发舆论高度关注。
不少消费者通过这件事惊讶地发现,自己的姓名和信用卡号被携程保存了,并且某些银行信用卡用户通过携程预订机票、酒店时,竟然只需要信用卡号、有效期,连等同于交易密码的CVV都不用输入,相关款项就被“预授权”了!盗刷实在太简单!
事实上,在国际上用信用卡预订库存和价格实时变动的旅游产品是最佳选择。全球的航空公司官网都提倡信用卡支付,许多外国航空公司只支持信用卡预订机票。国外不少银行的信用卡在预订旅游产品时,确实也只需要持卡人姓名、卡号和有效期,无需CVV码,在国内用招商银行信用卡订机票酒店就无需CVV码。更值得注意的是,在美国,Bestbuy、亚马逊等公司也要求在信用卡支付时留存CVV码,只是在中国,银联要求信用卡支付不能留存CVV码。
一方面,电商操作环节可能存在漏洞;另一方面,国际支付惯例在中国“水土不服”,二者叠加,才使得携程泄密事件成为舆论高度关注的焦点。国际旅游界普遍认为许多旅游产品都是实名制的,如果真的被盗刷,持卡用户会收到银行信用卡中心的短信和电话告知,相关监管方也可以通过追踪旅游产品的使用者找到违法犯罪分子。然而在中国,金融领域诚信度不及发达国家,同时互联网信息泄露现象频发,信用卡被盗刷后维权艰难俨然已不是新鲜事。
因此,要堵上互联网支付信息泄露的漏洞,并不只携程自纠自查和赔礼道歉这么简单,必须由旅游等电商、银行体系、第三方支付机构一起,根据中国国情调整支付流程和方法,平衡效率、创新和安全。监管部门方面,应在法律上加强对互联网金融相关立法,在支付领域也应根据细分市场颁布监管细则。对于盗刷信用卡事件和信息泄露事件,都应予以强力打击,尤其是信用卡被盗刷后的维权路径更要进一步简化,尽量避免关联方之间推诿情况的出现。