某团信用卡数据泄露传闻:分析与观点
据传,某团旗下金融平台近期疑似发生重大信用卡数据泄露事件,可能影响所有 境外发行 的 Visa/MasterCard/DinersClub/UnionPay 信用卡,可能导致盗刷风险。 为了避免不必要的影响,本文章将以
某团
代称涉及风波的公司。
本文目录
YXJjaGl2ZXMvc2VjdXJpdHkvc2ltcGxlLWV4cGxhbmF0aW9uLW9mLXNzNy1hdHRhY2tzIHwgIE1lbnU
本文配图
c2ltcGxlLWV4cGxhbmF0aW9uLW9mLXNzNy1hdHRhY2tzIHwgIGJhbm5lckltYWdl
事件概述
根据未经证实的消息来源,某团极有可能于近期被脱库了用户的 信用卡三要素 数据。
这次泄露可能影响到所有在某团账号下绑定的、没有强制 3DS 验证的信用卡,主要包括 Visa 和 MasterCard(不包含国内银联),详见 影响范围。
案例时间线 (实时更新)
# 事件ID: aGF0cyBsYW5kIOacgOWQjuabtOaWsOS6jiAxMC0wMSAxNDoxNQ
以下是本博客(www.hats-land.com)根据多方线索整理的事件时间线,仅供参考:
⚠️ 风险警告 (最后更新于 10-02 21:15)
- 2024-10-02 21:15 更新:
美团已经在小红书、微信公众号等国内平台开始公关此次数据泄露事件,表现为删帖和投诉举报。
治不了问题还治不了问题提出的人?
- 2024-10-01 14:15 更新:
有一些群友提供重要线索:“其实某团付款弹窗要求输 CVV 时可以随便填写,最后还是会通过验证”,笔者认为某团很有可能确实以某种方式存储了 CVV 信息。
- 2024-10-01 10:15 更新:
暂未收到满足 “仅绑定信用卡,但从未在某团消费过” 条件的相关反馈,笔者推测有可能与消费行为有关。
- 2024-10-01 09:28 更新:
有许多持有 HSBC (汇丰银行) 信用卡的群友反馈 “汇丰已根据应急预案,将有本次事件涉及支付网关交易的信用卡进行 锁卡 处理”,笔者在此必须表扬一下 HSBC 的应急预案能力。
- 2024-09-30 21:45 更新:
有大约十位以上的群友反馈 其绑定在某团的 V/M 信用卡 被从来未接触过的支付网关预授权,疑似料商 测活
- 2024-09-30 17:30 更新:
已有部分群友反馈 其绑定在某团的 V/M 信用卡已被 盗刷,但是暂未引起注意。
泄露信息范围
据报道,此次泄露的信息可能包括:
- 信用卡卡号 (明文/弱加密方式存储)
- 有效期 (明文/弱加密方式存储)
- CVV 安全码 (有较大概率泄露,但是未经证实)
影响范围
受影响
⚠️ 提醒
如果您的某团账号下直接绑定了以下卡组织的信用卡:
- 非国内发行的 Visa / MasterCard
- 银联国际 (UPI)
- DinersClub (Discover)
未受影响
满足以下任一条件即表示您展示不受此次泄露的影响。
- 第三方支付渠道
平时使用微信支付、支付宝、云闪付等第三方支付渠道,没有在某团中绑定过银行卡。
- 银行账号快速绑卡
通过 “合作银行快速绑卡” 通道绑定的信用卡,数据并不存储在某团服务器,所以仍然安全。
- AMEx (美国运通) 信用卡
某团到 4202 年了还不支持绑定 AMEx,所以完全不受影响,高下立判(
- 由国内发行的信用卡
注意
银联国际 (UPI) 并没有强制 3DS 验证,所以仍然可能受影响!
由于国内政策要求,国内银行发行的银联、Master Card/Visa 信用卡,均默认开启强制 3DS 验证,故不受影响。
应对措施
为保护您的信息安全,建议采取以下措施:
舆论环境
截至发稿时,此消息的准确性尚未得到完全确认。某团金融的相关部门尚未就此事发表官方声明。
建议用户持续关注国内关于某团、某团金融、钱袋宝(某团全资持牌机构)的相关舆论环境及官方的事件通报。如果事件未得到充分重视,可能会影响到后续的处理结果,损害您的个人权益。
名词解释
3DS
3DS,全称 3-D Secure,由 Visa 和 Mastercard 共同开发的一种两步验证标准。
卡料
黑产名词,指从各种非法渠道(如数据泄露、钓鱼网站、木马软件)收购来的一份包含 "卡号 有效期 CVV 姓名 地址" 等信息的清单,通过测活手段后进行盗刷。
测活
(也称为"验卡"或"探卡"),指黑产利用一些风控不高的支付网关对 “卡料” 进行预授权、小额消费 (0.1~2 usd 不等),以确认信用卡可用,以便进行下一步大额盗刷。
盗刷
整个黑色产业链条的最后一步,黑产通过不支持 3DS 的支付网关进行大额消费,随后使用各种成熟的洗钱手段对资金洗白。
锁卡
又称冻结、封卡,指暂时冻结所有与特定信用卡的交易,只入不出。
补卡
又称 “挂失卡片”、换卡,本是针对用户丢卡的情况而设定的机制,银行收取部分手续费后重新发行一张新的 卡号(可能不变)、有效期、CVV 信用卡。
历史文件
又到了最爱的历史文件环节()
2022 年钱袋宝(某团全资持牌机构)被罚款 1165 万元
2022年9月13日 中国人民银行营业管理部近日披露的行政处罚信息显示,北京钱袋宝支付技术有限公司(以下简称“钱袋宝”)因存在“与身份不明的客户进行交易或为其提供服务”等多项违法行为,被中国人民银行营业管理部警告,并处罚款 1165 万元。
具体来看,钱袋宝共涉及17项违法行为:
上传交易信息错误,未落实交易信息真实、完整、可追溯的要求;
未严格落实客户身份实名制审核要求,未按规定留存客户身份证件;
未严格落实客户身份实名制要求,未按规定开展法人开户意愿核实工作;
未按规定留存入网资料;
违规设置收单结算账户;
服务协议制定不规范;
违规进行非同名账户资金划转;
为金融企业或从事金融业务的企业开立支付账户;
未将支付服务协议格式条款进行备案;
未按照规定履行客户身份识别义务;
与身份不明的客户进行交易或为其提供服务;
未按照规定报送可疑交易报告;
未按规定履行客户资料和交易记录保存义务;
侵犯金融消费者个人信息安全;
未按规定使用格式合同;
未及时、真实、准确、全面地向金融消费者披露与其自身权益有重大关系的重要内容;
利用技术手段、优势地位,变相强制金融消费者接受金融产品或者服务。
MjAyMiDlubTpkrHooovlrp3vvIjmn5Dlm6LlhajotYTmjIHniYzmnLrmnoTvvInooqvnvZrmrL4gMTE2NSDkuIflhYMgfCByZWZlcmVuY2U
本文最后更新时间:2024-10-01 08:45, UTC+8
欢迎收藏本页面或者 订阅 Telegram 频道 以持续关注更多更新。
版权声明
本文经授权同意转载至以下平台,您可以自由转载,但请务必保留本文链接。
平台 | ID | 链接 |
---|---|---|
Telegram (首发) | @affyes | 传送门 |
Copyright (c) Hat's Blog www.hats-land.com
Released Date @ 2024-09-30
GPG Signature: 'https://www.hats-land.com/gpg-public.txt' (F166C5F4F897B96A07390B8574E3D911A0E70FEC)
// -----BEGIN PGP MESSAGE-----
// hF4DYvdQZ6S+TycSAQdAG2QQja2RmdDNE6ZRd0tKy7EA2MIkLxPz1xyo9LHe9hkw
// YOqUiYjD6mTMVES0odVAp1V69hCbfYfxxTgOyg+fv1qfNnIuitA+sge43ofNCt1O
// 1MBvAQkCEBMQiHKVZ83MkgswRdrlA9QG7nL/odIOV8fCiVlT62uRsjcZxRPsqb5F
// U0nZ7m2h4Bs6o4ZsZdeYA/WhnCg8TwuLiHe8I4IA7McVyI9on9I839N0FzZqaG7l
// BM3kUe+qVPBqkzm9el0+ncqXZym3WEA0dLJEHpLUPTBOQ0Yj2R/Pf5OOo4t1DLUA
// mFlcO/a8VZtO1da4IOUIIxnqjOvI4uGDY6H6ed0Zj10Yx0uRDpIaCykOC3PAV72E
// cCJmGKQN1LakFYTG40vJUaPtRh/3CjJ0O4eno5x/NffQHdFgovTjUl4JSsrtubE7
// Wo421pvN4cWPl/c9t/sNGe2KCy8o/c+wIaVV0alf2b7yV+6E1tQhwWtUONYhw7Eg
// R6Re6TQjWwujH6JHn/fEXYcR
// =DAE3
// -----END PGP MESSAGE-----