(電子商務(wù)研究中心訊) 事件根本原因一:違反銀聯(lián)規(guī)定本地保存銀行卡信息:攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能,將用戶支付的記錄用文本保存了下來。而根據(jù)中國銀聯(lián)風(fēng)險管理委員會2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》中命令禁止本地保存銀行卡信息:“各收單機(jī)構(gòu)系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息,不得存儲銀行卡磁道信息、卡片驗(yàn)證碼、個人標(biāo)識代碼(PIN)及卡片有效期。”
事件根本原因二:服務(wù)器安全配臵不嚴(yán)格:攜程用于保存支付日志的服務(wù)器未做校嚴(yán)格的基線安全配臵,存在目錄遍歷漏洞,導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取。遍歷通常是指沿著某條搜索路線,依次對樹中每個結(jié)點(diǎn)均做一次且僅做一次訪問,遍歷漏洞可導(dǎo)致大量攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息外泄。
漏洞早已暴露,忽視信息安全必然付出慘重代價:攜程的信息安全漏洞早在2009年之前就已經(jīng)多次被用戶質(zhì)疑,但均未引起公司足夠重視。2014年1月攜程再次被中國網(wǎng)等媒體指出儲存信用卡敏感信息存在泄露風(fēng)險,攜程網(wǎng)回應(yīng)采用的信用卡支付方式符合國際慣例,對自身的信息安全問題再次選擇忽視。信息安全無小事,忽視其重要性終釀成嚴(yán)重惡果。
信息安全事件頻發(fā),行業(yè)增速將顯著加快:“棱鏡門”事件后,國內(nèi)連續(xù)發(fā)生了如家等快捷酒店開房記錄泄露、中國人壽80萬保單信息泄露,搜狗手機(jī)輸入法漏洞導(dǎo)致用戶信息泄露等惡性信息安全事件,315晚會央視也曝光了二維碼等網(wǎng)銀支付的安全漏洞。就在昨天,多家境外媒更是曝光了一條令人震驚的消息:美國國家安全局早在三年前就已通過“后門”程序入侵華為總部服務(wù)器!一系列嚴(yán)重的信息安全事件使政府、企業(yè)等各方充分意識到抓緊信息安全建設(shè)的重要性和緊迫性,行業(yè)增速將顯著加快。
事件性催化或?qū)⒁畔踩鍓K:我們之前多次強(qiáng)調(diào)信息安全將會迎來戰(zhàn)略級機(jī)遇,一系列惡性信息安全事件必將促使信息安全地位進(jìn)一步強(qiáng)化,板塊將得到市場高度關(guān)注,重點(diǎn)關(guān)注衛(wèi)士通、啟明星辰、綠盟軟件、北信源等。
泄露事件將刺激金融卡換卡及升級需求,卡商受益:用戶大量銀行卡信息泄露或?qū)?dǎo)致資金損失,規(guī)避該風(fēng)險最合理也最有效的方法就是更換銀行卡,多家銀行已經(jīng)表示將免費(fèi)換卡。此外,未來對銀行卡安全性的要求提高則將加速金融IC卡的替代進(jìn)程。雙重需求疊加,卡商顯著受益,重點(diǎn)關(guān)注恒寶股份、天喻信息、東信和平等。
風(fēng)險提示:進(jìn)口替代進(jìn)程不達(dá)預(yù)期。(來源:安信證券)


































.png)
.png)
