最近,住过凯悦酒店的人有些糟心,因为该集团刚刚发生了住客信用卡信息泄露事件。
凯悦近日发布公告承认,由于支付系统遭到黑客攻击,全球一共有41家凯悦酒店受到影响,其中就包括中国的18家酒店,泄露的信息包括持卡人姓名、卡号、卡片有效期和安全码等。然而,这则公告还是来晚了,已经有不少人反映住店后遇到盗刷。
此次事件中涉及到的18家中国酒店名单如下,完整的酒店列表详见:
https://www.hyatt.com/notice/protectingourcustomers/hotellist/如果你在2017年3月18日至7月2日之间入住过以上酒店,并且使用过信用卡支付房费或押金,最好赶紧查一下近期的信用卡账单,最彻底的办法则是直接挂失更换新卡。
虽然这已经算“旧闻”了,但我们想借着这次凯悦酒店的信息泄露事件,来谈谈信用卡的用卡安全问题。
容易“中枪”的酒店
酒店数据泄露的事,也已经不是第一次发生了。去年1月份,凯悦集团对外公布过一起更为严重的数据事件,波及集团旗下约250家酒店。
(图片来自:IHG)
被黑客盯上的不只是凯悦一家集团。今年4月,洲际集团宣布旗下1200家酒店被发现信用卡数据外泄。喜达屋、希尔顿等酒店集团也曾被曝出过类似的事件。
除了酒店集团,OTA平台上用户支付卡数据泄露的事也时有发生。今年3月,漏洞报告平台乌云网连续披露了两个携程网安全漏洞,指出携程安全支付日志可遍历下载,可能导致大量用户银行卡信息泄露。携程对此的解释是开发人员在排查系统疑问时留下了临时日志且未及时删除所致。此次事件一共有93名用户受影响。
(图片来自:携程)
著名酒店预订平台Booking也因易于泄露信用卡信息而为人诟病。虽然官方并未承认过出现信息泄露,但关于在Booking上订了酒店后支付卡被盗刷的投诉屡见不鲜。
信用卡信息泄露的事情屡屡发生在酒店行业,显然也不是巧合。
一方面,酒店集团和平台拥有的大量极具价值的订单和用户信息,令其极易成为黑客的目标;另一方面,很多酒店集团的安全技术实在令人不敢恭维(比如洲际集团万年不变的4位数纯数字登录密码……),加上涉及到庞大的管理系统及各种接口等,进一步增加了出错的可能性。除此之外,也不排除存在内部人员监守自盗的可能性。
好吧,光指望酒店和平台保护好自己的信用卡信息是不行了,那么还是自己掌握一些安全用卡常识靠谱些。
如何保护好自己的卡片信息
与其在遇到盗刷时手足无措,不如先防患于未然。我们划了一些重点,希望对你有所帮助。
刷卡时:不要让卡片离开自己的视线,输入密码时注意遮挡,注意核对账单金额是否正确,相信这些都已经是基本常识了。
交易结束后,也请妥善保管好单据,不要随意丢弃,避免卡片信息遗漏,毕竟有些收据会显示完整的卡号甚至有效期,保留收据也方便日后核查。
(图片来自:Jactiv–Ouest-France)
卡片背后签名条附近的安全码(CVV码)也需要小心保护。建议大家可用胶布将其贴住,当然,前提是自己要记住,但最好不要用刀片之类的将安全码刮掉,以免影响卡片的完全性,否则商家是可以拒绝刷卡的。
(注意,美国运通的4位安全码位于卡片正面,图片来自:PayJunction Blog)
另外,使用芯片卡也能提高卡片的安全系数,减少卡片信息被复制的可能。
刷卡后:如果是在高风险地区(如泰国、印尼、菲律宾等国)有过线下刷卡消费,回国后最好更换新卡,有一些银行也会主动提醒用户换卡。
对于线上交易的商户,如果不是经常海淘的话,最好是在交易完成后及时删除网站上保留的信用卡信息。
晒卡时:不少人喜欢在社交网络上晒卡,殊不知,自己的卡片信息有时候就在不知不觉中被别有用心的人盗用了。有人认为卡片只要不泄露安全码信息就可以高枕无忧,但要知道,在诸如美国亚马逊等境外电商网站,用户凭借卡号、有效期即可完成交易,甚至连持卡人姓名都不必核对。
给卡号打上马赛克是比较常见的做法,但也并非万无一失。虽然马赛克是一种不可逆的算法,但是如果马虎处理,也有可能出现打了等于没打的情况,比如这位叫“jelly仔”网友就在讲述晒出了自己不认真打马赛克而遭到盗刷的经历,他的CCV码是这样打的:
(图片来自:SMZDM)
仔细观察,完全可以凭借数字轮廓推断出是408或498。更要命的是,由于卡号是凸版压制,在背面也完全暴露了。
况且,随着技术的发展,马赛克或许也并非牢不可破,目前就已经有了一些初步还原马赛克的技术,比如Google的AI就可以将模糊照片处理成清晰图像了。
因此,隐藏卡号最简单又可靠的方法还是使用实物(如圆珠笔)遮挡,当然,用修图软件P一个假的卡号也不失为一种选择。
不用时:由于盗刷很多时候是发生在海外,因此我们平时可以关闭卡片的境外支付功能,部分银行可以在app的信用卡支付或安全选项中找到该功能,或者直接致电银行客服要求关闭。
实在不放心的小伙伴,还可以将不常用的卡片进行限额设置,目前建行、招行、工行、浦发、广发等银行都在app里提供了此类选项(一般是在“交易设置”或“额度调整”的选项下)。
此外,还有不少银行的app提供了支持“一键锁卡”功能,我们可以将不常用的卡片直接锁掉,需要的时候再解锁,算是最一劳永逸的方法了。
至于不随便点击短信或微信消息中的不明链接、进入银行官网时注明辨别网址真假等,就都是老生常谈的话题了。
顺便说一句,支付宝以及一些保险公司都有针对盗刷推出的诸如“账户安全险”等险种,买一份保平安也未尝不可。