泄露旅客信息,攜程存在安全漏洞!法院判賠50000元!

私銀
隨著移動(dòng)互聯(lián)網(wǎng)興起,用戶包括身份、銀行財(cái)產(chǎn)等相關(guān)數(shù)據(jù)和互聯(lián)網(wǎng)應(yīng)用綁定越來越緊密,泄露風(fēng)險(xiǎn)和威脅也越來越大。而商家為了提高用戶操作和消費(fèi)便利性,或者為了加快產(chǎn)品開發(fā)流程,對(duì)安全問題往往心存僥幸。
 
  申女士在公司負(fù)責(zé)行政工作。去年8月9日凌晨,申女士通過攜程手機(jī)APP軟件幫同事下單預(yù)訂了8月10日上午10點(diǎn)50分北京飛嘉峪關(guān)中間經(jīng)西安轉(zhuǎn)機(jī)的機(jī)票。
 
  當(dāng)天上午10點(diǎn)15分,她收到一條署名“東方航空”的手機(jī)短信,告知其因飛機(jī)起落架故障西安到嘉峪關(guān)的航班取消,讓她聯(lián)系客服辦理改簽或退票。申女士信以為真,后在騙子的誘導(dǎo)下開通了支付寶“親密付”功能和銀行卡的網(wǎng)銀功能,先后被轉(zhuǎn)走近12萬元。
 
  事后,申女士將攜程和支付寶(中國)網(wǎng)絡(luò)技術(shù)有限公司一并訴至法院,要求兩公司連帶賠償經(jīng)濟(jì)損失并賠禮道歉,賠償精神損害撫慰金1萬元。
 
  今天上午,朝陽法院對(duì)此案作出一審判決。判決顯示,本案中,申女士通過攜程公司手機(jī)APP平臺(tái)訂購機(jī)票,因訂購機(jī)票行為而產(chǎn)生的出行人姓名、航班日期、起落地點(diǎn)、航班號(hào)、航空公司信息、訂票預(yù)留手機(jī)號(hào)信息被整體泄露,詐騙分子根據(jù)泄露的信息內(nèi)容發(fā)送詐騙短信,引導(dǎo)申女士使用支付寶親密付功能消費(fèi)及工商銀行網(wǎng)上銀行轉(zhuǎn)賬,最終導(dǎo)致申女士銀行卡內(nèi)個(gè)人財(cái)產(chǎn)受損。
 
  判決提到,通過申女士及攜程公司提交的新聞媒體報(bào)道證據(jù)及法院向派出所核實(shí)刑事案件進(jìn)展情況可知,從2014年至今,出現(xiàn)了大量的機(jī)票退改簽短信詐騙案,這些詐騙短信所包含的個(gè)人信息非常精確,不僅包括乘機(jī)人姓名、訂票人手機(jī)號(hào)等常見的個(gè)人信息,而且包含航班號(hào)、起降時(shí)間等完整的訂票信息,其事發(fā)的頻次、危害的嚴(yán)重性及危害程度令人咋舌。
 
  在法院審理過程中,攜程公司對(duì)其內(nèi)部員工授權(quán)進(jìn)行訪問涉案訂單的人員范圍、訪問敏感信息的授權(quán)記錄、監(jiān)控情況、操作記錄、內(nèi)外部傳輸審批情況等均未提交證據(jù)舉證。法院審理中還發(fā)現(xiàn),在大量機(jī)票退改簽短信詐騙案被媒體報(bào)道后,攜程公司對(duì)于訂單信息的保護(hù)反而從2014年的二級(jí)加密保護(hù)降低為2018年的一級(jí)不加密傳輸。在應(yīng)用界面及短信確認(rèn)內(nèi)容中也沒有充分明顯地告知消費(fèi)者對(duì)于航班信息詐騙的注意。
 
  法院審理認(rèn)為,攜程公司在信息安全管理的落實(shí)方面存在漏洞,未盡個(gè)人信息保管及防止泄露義務(wù),具有過錯(cuò),應(yīng)承擔(dān)侵權(quán)責(zé)任。
 
  至于支付寶,法院審理認(rèn)為支付寶軟件不存在漏洞,在親密付開通的過程中已經(jīng)盡到了充分的告知義務(wù)。因此,法院沒有支持申女士關(guān)于支付寶的訴請(qǐng)。
 
  宣判后,朝陽法院還向攜程公司發(fā)送了司法建議,建議其完善涉公民個(gè)人信息保護(hù)的管理制度;提升個(gè)人信息保護(hù)的硬件設(shè)備和技術(shù)保障;規(guī)范公司在承接業(yè)務(wù)中對(duì)客戶盡到風(fēng)險(xiǎn)的充分提示和注意義務(wù)。
 
  然而這并非個(gè)案,每隔幾年就會(huì)有一次被全網(wǎng)曝光的。
 
  攜程漏洞門引發(fā)公眾擔(dān)憂快捷支付隱患顯露(2014年)
 
  攜程的漏洞,觸發(fā)了一場(chǎng)關(guān)于支付安全的全民恐慌。
 
  3月22日,周六晚上21點(diǎn)多,北京一家傳媒公司的負(fù)責(zé)人給行政主管撥了一個(gè)電話,告訴她馬上掛失為出差人員訂航班酒店的招行信用卡。
 
  當(dāng)日晚間,攜程旅行網(wǎng)(NASDAQ:CTRP)被曝支付日志存在漏洞,用戶銀行卡信息可被黑客任意讀取。攜程方面承認(rèn)漏洞存在。
 
  作為中國老牌旅行服務(wù)公司,攜程為超過1.4億會(huì)員提供酒店預(yù)訂、機(jī)票預(yù)訂、旅游度假、商旅管理等服務(wù),是諸多中國公司機(jī)構(gòu)訂酒店機(jī)票的常用平臺(tái),與建行、招商、廣發(fā)等銀行發(fā)行有聯(lián)名信用卡。
 
  攜程此次被詬病的不僅是漏洞被捕獲,更重要的是泄露的用戶信息中包括了銀行卡CVV碼這類被明令禁止不得儲(chǔ)存的數(shù)據(jù)信息。更令人擔(dān)心的是,類似做法在業(yè)內(nèi)不是孤例,為促進(jìn)用戶便捷消費(fèi),或者為了加快產(chǎn)品開發(fā)流程,商戶往往忽略對(duì)用戶信息安全的關(guān)照。
 
  在互聯(lián)網(wǎng)支付安全問題被熱議的當(dāng)下,攜程漏洞門事件無疑雪上添霜。
 
  “黑色周末”
 
  3月22日18時(shí)許,烏云漏洞平臺(tái)(WooYun)公布信息:“由于攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能,將用戶支付的記錄用文本保存了下來。同時(shí)因?yàn)楸4嬷Ц度罩镜姆?wù)器未做嚴(yán)格的基線安全配置,存在目錄遍歷漏洞,導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取”。
 
  所謂遍歷通常是指沿著某條搜索路線,依次對(duì)樹中每個(gè)結(jié)點(diǎn)均做一次且僅做一次訪問。這一被歸類為“敏感信息泄露”的漏洞被指可能導(dǎo)致攜程用戶持卡人姓名、身份證、銀行卡號(hào)、卡CVV碼、六位卡Bin等信息外泄。黑客若獲得這些信息,足以進(jìn)行網(wǎng)購盜刷。攜程方面隨即于當(dāng)晚22時(shí)左右發(fā)出聲明,稱已經(jīng)在消息發(fā)布兩個(gè)小時(shí)內(nèi)修復(fù)問題,“尚未發(fā)現(xiàn)因相關(guān)問題導(dǎo)致客戶信息泄露及造成損失的情況發(fā)生”。
 
  此次主動(dòng)披露攜程漏洞問題的烏云漏洞平臺(tái),是一個(gè)位于廠商和安全研究者之間的安全問題反饋平臺(tái)。攜程方面稱,漏洞的敞開窗口是3月21日和22日,被烏云發(fā)現(xiàn)時(shí)是22日,因此這兩日在攜程網(wǎng)交易并使用信用卡支付的消費(fèi)者可能存在風(fēng)險(xiǎn)。
 
  據(jù)多名互聯(lián)網(wǎng)企業(yè)安全總監(jiān)對(duì)財(cái)新記者的說法,烏云之前曝過很多大公司的漏洞,通常都是先通報(bào)給廠家,修復(fù)后才對(duì)外公布漏洞信息。但此次烏云先對(duì)外曝出攜程漏洞,攜程再緊急“打熱補(bǔ)”,他們猜測(cè),要么是攜程內(nèi)部出了問題,要么是攜程“長(zhǎng)期不搭理烏云的提醒”。翌日,攜程方面經(jīng)過徹夜排查,稱僅“漏洞發(fā)現(xiàn)者”對(duì)攜程的日志文件做了測(cè)試下載,內(nèi)容含有極少量加密卡號(hào)信息,共涉及93名存在潛在風(fēng)險(xiǎn)的攜程用戶。“公司客服當(dāng)天17時(shí)多就全部聯(lián)系到人了,告訴他們發(fā)生了什么事情,幫助他們辦理換卡事宜。”一名攜程經(jīng)理對(duì)財(cái)新記者透露,93名消費(fèi)者都沒有說什么,“我們給這些用戶提供了500元禮品卡,還承諾如果用戶真的出現(xiàn)盜刷情況,我們保證賠償”。
 
  第一階段緊急處置告一段落,接下來的疑問是攜程的漏洞是如何產(chǎn)生的,其網(wǎng)絡(luò)安全體系、工作流程有何不足。攜程官方公告中寥寥數(shù)語介紹:“經(jīng)查,技術(shù)開發(fā)人員之前是為了排查系統(tǒng)疑問,留下了臨時(shí)日志,因疏忽未及時(shí)刪除,目前,這些信息已被全部刪除。”
 
  曾在上海多家知名網(wǎng)站擔(dān)任技術(shù)總監(jiān)的周喬波從技術(shù)層面分析,攜程此次問題是由雙重因素共同導(dǎo)致的。首先是技術(shù)人員在排錯(cuò)過程中打開了Debug開關(guān),導(dǎo)致頁面操作信息被寫入安全支付日志;然后是安全支付日志文件的目錄沒有做好安全基準(zhǔn)配置,權(quán)限放開,沒有及時(shí)關(guān)閉接口,然后沒有及時(shí)刪除臨時(shí)目錄,導(dǎo)致外界通過互聯(lián)網(wǎng)可以瀏覽、遍歷和下載日志。
 
  “不是每個(gè)網(wǎng)站排錯(cuò)都會(huì)用這種方式,這要看各公司對(duì)安全性的重視程度。攜程這方面做的不好,但一定不是最差的。”周喬波說,此前的漏洞影響最多的是網(wǎng)站信息安全、注冊(cè)用戶個(gè)人資料,現(xiàn)在支付業(yè)務(wù)發(fā)展后,用戶的銀行卡信息更直接關(guān)系到用戶財(cái)產(chǎn)安全,但一些公司不一定對(duì)此有足夠的重視。
 
  在資深技術(shù)人員眼里,攜程犯的是“低級(jí)錯(cuò)誤”,“像寫日志這樣的工作,在公司里一般是剛畢業(yè)的小朋友或者實(shí)習(xí)生干的,如果沒有嚴(yán)格的審核機(jī)制、代碼的規(guī)范,出這樣的錯(cuò)誤就不出意料。”一位資深安全技術(shù)人員說。
 
  快捷支付的隱患
 
  讓外界對(duì)攜程質(zhì)疑加碼的是其違規(guī)存儲(chǔ)了用戶的銀行卡CVV碼信息。
 
  CVV即信用卡背后的三位驗(yàn)證碼,在多數(shù)“無卡支付”環(huán)節(jié),只需提供卡號(hào)及此三位驗(yàn)證碼就可完成支付。
 
  《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》明確規(guī)定,各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分、差錯(cuò)處理所必需的最基本的賬戶信息,不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼(CVV)、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期。這意味著這些信息原本就不該出現(xiàn)在攜程的服務(wù)器上。
 
  攜程的解釋是,攜程是將用戶未扣款成功的CVV信息暫存七天,目的是為了協(xié)助用戶便捷支付。“漏洞門”之后,攜程表示,將對(duì)支付流程進(jìn)行整改,取消對(duì)用戶信用卡CVV信息的詢問和登記,不再保留任何用戶的CVV記錄。
 
  在攜程無主觀使用用戶銀行卡信息牟利的假設(shè)下,為了用戶的支付便捷,似乎是攜程保存用戶CVV碼的唯一解釋。事實(shí)上,在各個(gè)互聯(lián)網(wǎng)企業(yè)對(duì)用戶的爭(zhēng)奪中,提供快速便捷的支付體驗(yàn)一直是重要籌碼。
 
  登錄進(jìn)入攜程網(wǎng)的支付界面,用戶可以選擇三種支付方式:信用卡、第三方支付、網(wǎng)上銀行。如果用戶選擇后兩種支付方式,下一步是直接跳轉(zhuǎn)進(jìn)入銀行或者支付平臺(tái)的頁面進(jìn)行操作;如果選擇信用卡支付,則是停留在攜程自有的頁面進(jìn)行輸入,用戶的信用卡信息就這樣被攜程錄入,保留在其服務(wù)器上。
 
  周喬波介紹,國內(nèi)很多網(wǎng)站利用信用卡協(xié)議,通過這樣的方式攔截客戶資料,不過通常都是將信息記錄在數(shù)據(jù)庫中,并非采用日志形式進(jìn)行存儲(chǔ)。攜程上述漏洞暴露的日志存儲(chǔ)行為并不是為了攔截客戶數(shù)據(jù),只是湊巧暴露了攜程擁有客戶CVV碼等信息的事實(shí)。
 
  攜程網(wǎng)與國內(nèi)主要銀行都簽署了信用卡無卡支付協(xié)議。用戶同意攜程網(wǎng)保留其信用卡卡號(hào)和有效期等信息,則在其下次預(yù)訂時(shí)只需提供所存信用卡的卡號(hào)后四位,以及信用卡CVV碼或有效期,攜程網(wǎng)就會(huì)根據(jù)其當(dāng)初保留在系統(tǒng)中的信用卡授權(quán)信息,執(zhí)行支付步驟。
 
  也就是說,無論是誰,只要掌握了用戶的信用卡號(hào)、有效期、CVV碼信息,就可以成功刷信用卡消費(fèi)。
 
  近幾年,在線旅游市場(chǎng)競(jìng)爭(zhēng)激烈,如何讓用戶獲得更便捷的消費(fèi)體驗(yàn),是攜程、去哪兒、同程等比拼的焦點(diǎn)。多家在線旅游服務(wù)商都會(huì)提供“常用卡服務(wù)”的選項(xiàng),初衷是為了方便客戶交易,比如在進(jìn)行艙位變更時(shí),不需要每次更改信息都要求用戶重復(fù)輸入CVV碼。
 
  隨著移動(dòng)互聯(lián)網(wǎng)興起,用戶包括身份、銀行財(cái)產(chǎn)等相關(guān)數(shù)據(jù)和互聯(lián)網(wǎng)應(yīng)用綁定越來越緊密,泄露風(fēng)險(xiǎn)和威脅也越來越大。而商家為了提高用戶操作和消費(fèi)便利性,或者為了加快產(chǎn)品開發(fā)流程,對(duì)安全問題往往心存僥幸。
 
  據(jù)中國電子商務(wù)研究中心發(fā)布的《2013年中國網(wǎng)民信息安全狀況研究報(bào)告》顯示,74.1%的網(wǎng)民在過去半年時(shí)間內(nèi)遇到過信息安全問題,總?cè)藬?shù)達(dá)4.38億,全國因信息安全事件而造成的個(gè)人經(jīng)濟(jì)損失達(dá)到了196.3億元;因網(wǎng)上購物遇到過安全問題的網(wǎng)民達(dá)2010.6萬人,其中因網(wǎng)購遭遇個(gè)人信息泄露和賬號(hào)密碼被盜分別為42.9%、23.8%;電腦網(wǎng)絡(luò)支付時(shí),資金被盜、被騙和賬號(hào)密碼被盜的比例達(dá)32.1%。
 
  奇虎360公司安全專家安揚(yáng)介紹,在支付安全方面,國際上有一項(xiàng)PCI-DSS(Payment Card Industry-data storage security)標(biāo)準(zhǔn),嚴(yán)格規(guī)定了網(wǎng)站不能保存哪些用戶數(shù)據(jù),以及規(guī)定網(wǎng)站必須采用加密數(shù)據(jù)傳輸?shù)劝踩胧?。在PCI-DSS規(guī)定的基本安全措施中,商戶可以保存的信息是信用卡號(hào)、持卡人姓名、信用卡失效日、業(yè)務(wù)代碼,禁止保存的包括CVV碼、PIN、完整磁條信息(針對(duì)POS機(jī)刷卡)。
 
  “PCI-DSS”中文全稱為支付卡產(chǎn)業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn),是由PCI安全標(biāo)準(zhǔn)委員會(huì)的創(chuàng)始成員(Visa、Mastercard等五大國際卡組織)制定并維護(hù)的一套保護(hù)持卡人數(shù)據(jù)的技術(shù)和操作基本安全要求,以有效降低網(wǎng)站發(fā)生數(shù)據(jù)泄露的風(fēng)險(xiǎn),保護(hù)支付數(shù)據(jù)的存儲(chǔ)和傳輸安全。國內(nèi)目前通過PCI-DSS認(rèn)證的企業(yè)包括網(wǎng)銀在線、支付寶、快錢支付、盛付通、工商銀行、民生銀行、去哪兒等。
 
  但也有人質(zhì)疑PCI的安全性,比如,國外兩家零售商Target和Neiman Marcus都是PCI-DSS標(biāo)準(zhǔn)的合規(guī)企業(yè),但都遭遇過黑客入侵,導(dǎo)致信息泄露。
 
  “出了事情之后,我們也在準(zhǔn)備申請(qǐng)PCI系統(tǒng)認(rèn)證。”攜程內(nèi)部的一位中層人士告訴財(cái)新記者,攜程已啟動(dòng)PCI認(rèn)證程序,以期更符合國內(nèi)外安全規(guī)范,“這需要耗一定的成本和時(shí)間,去哪兒當(dāng)初申請(qǐng)材料就準(zhǔn)備了三個(gè)月。但這次事件給了我們教訓(xùn),就是成本再大,這事也得做”。
 
  “白帽子”查漏
 
  近幾年,用戶信息泄露事件層出不窮。2012年的CSDN泄密事件曾引起嘩然;去年10月,烏云(WooYun)漏洞平臺(tái)發(fā)布報(bào)告稱,如家、漢庭等大批酒店的客戶開房記錄因被第三方存儲(chǔ)和系統(tǒng)漏洞而泄露。報(bào)告中,烏云曝光了網(wǎng)上下載酒店客戶信息的過程,成功下載的客戶信息中完整記錄了入住酒店旅客的身份證、入住時(shí)間、入住的房間號(hào)碼等隱私信息。
 
  此次披露攜程漏洞問題的依然是烏云漏洞平臺(tái),這是一個(gè)位于廠商和“白帽子”(指一些善意公布公共網(wǎng)絡(luò)安全漏洞的IT技術(shù)人員)之間的安全問題反饋平臺(tái),曾報(bào)告過騰訊、阿里巴巴、當(dāng)當(dāng)、京東商城、360等多個(gè)互聯(lián)網(wǎng)企業(yè)的安全漏洞。
 
  烏云漏洞平臺(tái)成立的動(dòng)因,是業(yè)內(nèi)的“白帽子”在發(fā)現(xiàn)網(wǎng)站漏洞后,缺乏渠道及時(shí)反饋給相應(yīng)的網(wǎng)站。幾位知名“白帽子”成立了烏云漏洞平臺(tái),為計(jì)算機(jī)廠商和安全研究者提供技術(shù)上的各種參考以及漏洞bug的發(fā)現(xiàn)和修復(fù)渠道。
 
  騰訊公司在其2012年度“漏洞獎(jiǎng)勵(lì)計(jì)劃”工作報(bào)告中指出,2012年騰訊產(chǎn)品發(fā)現(xiàn)安全漏洞2288個(gè),其中來自騰訊安全應(yīng)急響應(yīng)中心的有1910個(gè);通過非官方渠道報(bào)告漏洞378個(gè),主要來自烏云平臺(tái),提供了302個(gè)安全漏洞。
 
  “傳統(tǒng)企業(yè)做互聯(lián)網(wǎng)往往漠視安全問題,攜程此次事件暴露了其安全意識(shí)淡薄。”這位資深安全技術(shù)人員說,事實(shí)上,國內(nèi)金融系統(tǒng)的漏洞也很多,尤其是銀行網(wǎng)絡(luò),只是因?yàn)楹诳蛯?duì)政府有所忌憚,所以并沒有暴露過太大的問題,但涉及到支付的相關(guān)合作公司,如果在安全性上有漏洞,就很容易成為攻擊目標(biāo)。
 
  他還介紹,重視安全的互聯(lián)網(wǎng)公司一般都有專門的漏洞組做漏洞挖掘,也會(huì)鼓勵(lì)同行提漏洞,甚至?xí)顿M(fèi)。業(yè)內(nèi)的規(guī)則是:“你發(fā)現(xiàn)漏洞,告訴我,我會(huì)給你錢,但是在我修復(fù)前不能公開”。
 
  除了民間的糾錯(cuò)和企業(yè)自查,來自監(jiān)管的督促也是互聯(lián)網(wǎng)安全體系建立的重要力量?;ヂ?lián)網(wǎng)與其他各行各業(yè)日益滲透融合化的趨勢(shì),使得現(xiàn)有互聯(lián)網(wǎng)管理體系暴露出諸多弊端。此前,“九龍治水”的分散管理是信息安全領(lǐng)域監(jiān)管薄弱的重要原因。工信部、公安部、國家保密局、國家密碼管理局、銀監(jiān)會(huì)、證監(jiān)會(huì)等部門都有規(guī)章文件涉及個(gè)人信息保護(hù)。最近,國家成立了網(wǎng)絡(luò)安全與信息化工作小組,集合各個(gè)部門的力量,符合互聯(lián)網(wǎng)監(jiān)管的趨勢(shì)。
 
  2012年12月28日,全國人民代表大會(huì)常務(wù)委員會(huì)通過了關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定,從法律層面為網(wǎng)絡(luò)信息保護(hù)提供了依據(jù),但這是涉及個(gè)人信息安全的普適性原則。來自工信部電信研究院的專家向財(cái)新記者介紹,不同業(yè)務(wù)類型的互聯(lián)網(wǎng)網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用系統(tǒng),對(duì)它們的具體網(wǎng)絡(luò)安全要求會(huì)有不同,不同行業(yè)的監(jiān)管部門包括央行等都制定了相應(yīng)的標(biāo)準(zhǔn)和具體的操作規(guī)范,“攜程在一定程度上是銀聯(lián)服務(wù)的延伸渠道,銀聯(lián)對(duì)渠道也有自己的管理規(guī)范,攜程理論上應(yīng)該受到多類多級(jí)規(guī)范制約,但是在實(shí)際操作中糾察缺位”。
 
  發(fā)現(xiàn)問題之后的處罰力度也有待加強(qiáng)。根據(jù)相關(guān)規(guī)定,用戶個(gè)人信息發(fā)生或者可能發(fā)生泄漏、損毀、丟失的,應(yīng)當(dāng)立即采取補(bǔ)救措施;造成或者可能造成嚴(yán)重后果的,應(yīng)當(dāng)立即向準(zhǔn)予其許可或備案的電信管理機(jī)構(gòu)備案。電信管理機(jī)構(gòu)依據(jù)職權(quán)要求企業(yè)限期整改,并可處于1萬元以上、3萬元以下罰款。
 
  “這個(gè)處罰并不是特別有力。”上述專家認(rèn)為,除了加大處罰力度,還可以對(duì)發(fā)現(xiàn)問題的企業(yè)予以公示,“聲譽(yù)對(duì)于企業(yè)來說格外重要,公示的影響力會(huì)對(duì)企業(yè)形成一定的威懾作用”。
 
  在攜程內(nèi)部看來,此次漏洞門事件對(duì)攜程的影響并非經(jīng)濟(jì)損失,損失更大的還是聲譽(yù)。漏洞事件曝光后首個(gè)交易日,攜程股價(jià)盤前一度跌近10%。
 
  “機(jī)票門”持續(xù)發(fā)酵攜程誠信再度遭拷問(2016年)
 
  經(jīng)歷了2014年用戶信息“泄密門”事件之后,攜程再度因違規(guī)機(jī)票問題受到消費(fèi)者的質(zhì)疑,互聯(lián)網(wǎng)企業(yè)所重視的用戶體驗(yàn)備受“忽略”,進(jìn)而令企業(yè)的信譽(yù)問題也面臨受到考驗(yàn)。
 
  經(jīng)常因公司業(yè)務(wù)出差日本的傅先生是攜程的鉆石級(jí)成員。他近日去日本出差,在攜程網(wǎng)上訂購了從上海到東京以及東京到北京的兩張機(jī)票,可是在回國時(shí)卻遇到了麻煩。傅先生告訴《經(jīng)濟(jì)參考報(bào)》記者,1月7日他在日本的羽田機(jī)場(chǎng)辦理值機(jī)的時(shí)候,柜臺(tái)工作人員表示,他預(yù)定的機(jī)票已經(jīng)被取消。傅先生隨即電話攜程客服反映情況,而后攜程答應(yīng)給他重新出一張票。在聯(lián)系攜程客服后,對(duì)方又提供了一張用名為石垣(ISHIGAKI)的人的積分兌換的機(jī)票,并要求他假裝石垣的親屬以憑借積分乘機(jī)。而按照日航(其實(shí)也是絕大多數(shù)航空公司)的要求,積分兌換的機(jī)票僅供積分持有人和其直系家屬使用,顯然傅先生和石垣并沒有關(guān)系,于是這張票被認(rèn)定為無效票。而傅先生也被要求配合調(diào)查。在此過程中,傅先生的日本合作伙伴全程目睹。無奈之下,傅先生只能自己重新買了張機(jī)票。“他們并不相信這張無效機(jī)票是來自中國最大的在線旅游企業(yè),而我便背上‘欺詐’的嫌疑。”傅先生氣憤地表示,耽擱了時(shí)間,增添了麻煩不算什么,嚴(yán)重的是這種做法損失了他的信譽(yù),畢竟這是一種偷竊積分兌換機(jī)票的行為。“此事不僅影響我的信譽(yù),也可能讓我留下不良記錄。”
 
  此后,日本航空的中國同事告訴傅先生,他這次購買的兩張機(jī)票都有問題。攜程首先是偷了一個(gè)英航積分換了無效機(jī)票賣給他,結(jié)果因?yàn)樯嫦訉Yu積分票導(dǎo)致該張機(jī)票被認(rèn)定為無效票;在其進(jìn)行投訴后,攜程又用另一個(gè)日本人的積分換了一張無效機(jī)票給他。
 
  對(duì)此,攜程方面在回應(yīng)中表示,經(jīng)調(diào)查,此事系供應(yīng)商人工操作失誤,導(dǎo)致客人無法登機(jī)。攜程已第一時(shí)間與該票臺(tái)停止合作,并對(duì)票臺(tái)做出了相應(yīng)的處罰。同時(shí),攜程將承擔(dān)客人損失并進(jìn)行賠償。對(duì)于類似問題,攜程首先保障客人出行,并給予退一賠三的補(bǔ)償。給客人出行造成不良體驗(yàn),再次表示歉意。此類事件為小概率事件,攜程每天機(jī)票客人到場(chǎng)無票發(fā)生概率低于萬分之二。
 
  另外,1月11日,微信公眾號(hào)“李淼”發(fā)文稱,其于攜程訂購的北京至札幌往返機(jī)票在收到電子票號(hào)后,竟在航班起飛前被機(jī)場(chǎng)認(rèn)定為無效。兩位消費(fèi)者投訴的攜程假機(jī)票事件一出,立刻引發(fā)越來越多的消費(fèi)者入場(chǎng)“吐槽”,不少消費(fèi)者都表示遇到過類似情況。而投訴也不僅限于機(jī)票問題,各種預(yù)訂酒店的問題也不斷暴露出來。
 
  “近幾年,互聯(lián)網(wǎng)機(jī)票銷售平臺(tái)的盛行,在為消費(fèi)者帶來實(shí)惠便利的同時(shí),也產(chǎn)生了不少問題,特別是不少平臺(tái)以‘比價(jià)’的名義,通過低價(jià)引流,引誘消費(fèi)者誤購機(jī)票,然后再通過高額退改簽費(fèi)獲利,要么加價(jià)銷售機(jī)票、捆綁銷售保險(xiǎn)等手段,這嚴(yán)重侵害了旅客的權(quán)益。”一位旅游行業(yè)人士告訴記者。
 
  在事件爆發(fā)之初,對(duì)于攜程把問題都推責(zé)給供應(yīng)商的表態(tài)再度引發(fā)消費(fèi)者的不滿。“這好比我們?cè)诔欣镔I了假冒偽劣商品,超市能推責(zé)給供貨廠商就完了嗎?”一位消費(fèi)者表示“攜程在這些投訴事件中一再淡化自己的責(zé)任,這才是最讓消費(fèi)者不滿的。”
 
  法律人士則認(rèn)為,攜程等第三方平臺(tái)有責(zé)任和義務(wù)對(duì)供應(yīng)商進(jìn)行資質(zhì)審核,出現(xiàn)問題時(shí)也要對(duì)乘客承擔(dān)法律責(zé)任。而后的13日,攜程再度發(fā)聲,首次承認(rèn)存在監(jiān)管漏洞,例如一些做不到在規(guī)定時(shí)間內(nèi)出票的供應(yīng)商,采取了“先用個(gè)假票號(hào)應(yīng)付,等實(shí)際出票后再補(bǔ)錄”等不合規(guī)方法,躲避攜程的監(jiān)管。還有個(gè)別供應(yīng)商在利益驅(qū)使下,明知故犯違規(guī)出票,損害了旅客權(quán)益。此前,對(duì)于部分供應(yīng)商不會(huì)錄入GDS全球機(jī)票分銷系統(tǒng)的機(jī)票,攜程采用的是人工抽驗(yàn)的方式審查。由于是按一定比例抽驗(yàn),仍會(huì)有部分違規(guī)機(jī)票無法被監(jiān)測(cè)到。在此次事件后,攜程將對(duì)目前尚不能自動(dòng)監(jiān)控票號(hào)狀態(tài)的供應(yīng)商機(jī)票,全部進(jìn)行人工核驗(yàn)。同時(shí),會(huì)加強(qiáng)風(fēng)控管理,從財(cái)務(wù)流程上對(duì)供應(yīng)商給予約束。此外,攜程還表示將嚴(yán)格執(zhí)行對(duì)違規(guī)供應(yīng)商的處罰力度,第一次發(fā)現(xiàn),強(qiáng)制下線整頓,第二次發(fā)現(xiàn),立即停止合作。
 
  公開資料顯示,2013年底,攜程推出開放平臺(tái),銷售部分旅行社產(chǎn)品或機(jī)票產(chǎn)品。根據(jù)攜程2015年第一季度財(cái)報(bào)數(shù)據(jù),該季度有超過60%的機(jī)票交易量來源于第三方合作伙伴提供的產(chǎn)品。這意味著,大部分用戶從攜程購買的機(jī)票,實(shí)際來自第三方機(jī)票代理。
 
  事實(shí)上,這已不是攜程第一次遭遇危機(jī)。此前的2014年,烏云漏洞平臺(tái)發(fā)布消息稱,攜程系統(tǒng)存技術(shù)漏洞,可導(dǎo)致用戶個(gè)人信息、銀行卡信息等泄露,該事件令消費(fèi)者心有余悸。
 
  “我是一名攜程的老會(huì)員了,一直使用攜程訂機(jī)票、訂酒店,也一直很信任攜程,但實(shí)在沒有想到會(huì)發(fā)生這樣的事情,也讓我這個(gè)老會(huì)員感到非常的傷心和失望。面對(duì)攜程,消費(fèi)者有時(shí)候真的無能為力。”一位曾經(jīng)“受傷”的用戶感嘆道。
 
  中國人民大學(xué)商法研究所所長(zhǎng)、中國消費(fèi)者協(xié)會(huì)副會(huì)長(zhǎng)劉俊海在接受《經(jīng)濟(jì)參考報(bào)》采訪時(shí)表示,一味追求利潤(rùn)最大化必然使得企業(yè)放棄道德底線,包括攜程在內(nèi)的在線旅游企業(yè)需要摒棄利潤(rùn)最大化思維并且需要有社會(huì)責(zé)任擔(dān)當(dāng),旅游產(chǎn)品質(zhì)量、企業(yè)品質(zhì)、企業(yè)背后管理者的品質(zhì)要“三品合一”。嚴(yán)格的產(chǎn)品質(zhì)量標(biāo)準(zhǔn)、營銷標(biāo)準(zhǔn)、售后服務(wù)體系、內(nèi)控體系與問責(zé)體系缺一不可。
 
  “攜程既要有不斷創(chuàng)新產(chǎn)品的智商、也得有受消費(fèi)者尊重和信任的情商、更有敬仰、敬畏法律的法商、踐行旅游行業(yè)最佳商業(yè)倫理的德商。”劉俊海直言,“企業(yè)要尊重消費(fèi)者的知情權(quán)、選擇權(quán)、公平交易權(quán)、索賠權(quán),更重要的是治理參與權(quán),希望攜程能夠歡迎消費(fèi)者進(jìn)入公司治理層面,傾聽消費(fèi)者的利益訴求,幫助企業(yè)更好的治理和更好的發(fā)展。”
 
  “誠信是企業(yè)立業(yè)之本,在激烈的、同質(zhì)化嚴(yán)重的競(jìng)爭(zhēng)下,只有把握消費(fèi)者的心才能確保立于不敗之地對(duì)于投資人而言,企業(yè)的誠信也是至關(guān)重要的。”上述行業(yè)人士坦言。投資者,特別是海外投資人,對(duì)于企業(yè)和企業(yè)家家的誠信一直都十分關(guān)注。近兩年來,包括攜程在內(nèi)的一大批中國企業(yè)也接連登陸美國市場(chǎng),而誠信問題一直是“中概股”揮之不去的陰影。
 
  期待著攜程再來一場(chǎng)“承擔(dān)責(zé)任,從心出發(fā)”的危機(jī)公關(guān)!
 
 
 
 
 
THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論