美团旗下金融平台近期疑似发生重大信用卡数据泄露事件,可能影响所有 境外发行 的 Visa/MasterCard/DinersClub/UnionPay 信用卡,可能导致盗刷风险。
为了避免不必要的影响,本文章将以 某团 代称涉及风波的公司。
事件概述
根据未经证实的消息来源,美团极有可能于近期被脱库了用户的 信用卡三要素 (信用卡号、有效期、CVV) 数据。
这次泄露可能影响到所有在美团账号下绑定的、没有强制 3DS 验证的信用卡,主要包括 Visa 和 MasterCard(不包含国内银联),详见 影响范围。
案例时间线 (实时更新)
- 2024-10-15 16:30 更新:
据群友 DP,其在10月6号在美团绑定了一张 wise 信用卡,到了第二天 (10月7号) 开始就一直遭到 #盗刷,截止到 10月12号,其仅绑定在美团的信用卡被盗刷了 100 多次(笔者已根据截图确认真实性)。
- 2024-10-02 21:15 更新:
美团已经在小红书、微信公众号等国内平台开始公关此次数据泄露事件,表现为删帖和投诉举报,开始大举进行 #捂嘴行动。
治不了问题还治不了问题提出的人?
- 2024-10-01 14:15 更新 (感谢群友 DP):
有一些群友提供重要线索:“其实美团付款弹窗要求输 CVV 时可以随便填写,最后还是会通过验证”,笔者认为美团很有可能确实 以某种方式存储了 CVV 信息。
- 2024-10-01 10:15 更新 (感谢群友 DP):
暂未收到满足 “仅绑定信用卡,但从未在美团消费过” 条件的相关反馈,笔者推测有可能与消费行为有关。
- 2024-10-01 09:28 更新:
有许多持有 HSBC (汇丰银行) 信用卡的群友反馈 “汇丰已根据应急预案,将有本次事件涉及支付网关交易的信用卡进行 #锁卡 处理”,笔者在此必须表扬一下 HSBC 的应急预案能力。
- 2024-09-30 21:45 更新:
有大约十位以上的群友反馈 其绑定在美团的 V/M 信用卡 被从来未接触过的支付网关预授权,疑似料商 #测活
- 2024-09-30 17:30 更新:
已有部分群友反馈 其绑定在美团的 V/M 信用卡已被 #盗刷,但是暂未引起注意。
- 2024-09-30 12:24:14 更新: (感谢评论区 #1 的 DP)
收到银行邮件通知,该卡被名为 “AIRTECH INTERNATIONAL” 的机构消费,消费金额 0.00 USD,因为疑似 #测活 触发银行风控被自动 #锁卡。
- 2024-08-06 更新: (感谢评论区 #1 的 DP)
在美团绑定境外银行发行的 MasterCard 并用其下单,账单上收款机构为 “Meituan BeiJing CN”。后于8月中旬从美团支付解绑并删除该卡。
泄露信息范围
据报道,此次泄露的信息可能包括:
- 信用卡卡号 (明文/弱加密方式存储)
- 有效期 (明文/弱加密方式存储)
- CVV 安全码 (有较大概率泄露,但是
未经证实,已 间接证实)
影响范围
受影响
提醒
如果您的美团账号下直接绑定了以下卡组织的信用卡:
- 非国内发行的 Visa / MasterCard
- 银联国际 (UPI)
- DinersClub (Discover)
那么代表 您现在非常危险,请立即对受影响卡片进行冻结、补卡操作,详见 应对措施 一节。
未受影响
满足以下任一条件即表示您展示不受此次泄露的影响。
- 第三方支付渠道
平时使用微信支付、支付宝、云闪付等第三方支付渠道,没有在美团中绑定过银行卡。
- 银行账号快速绑卡
通过 “合作银行快速绑卡” 通道绑定的信用卡,数据并不存储在美团服务器,所以仍然安全。
- AMEx (美国运通) 信用卡
美团到 4202 年了还不支持绑定 AMEx,所以完全不受影响,高下立判(
- 由国内发行的信用卡
由于国内政策要求,国内银行发行的银联、Master Card/Visa 信用卡,均默认开启强制 3DS 验证,故不受影响。
注意: 银联国际 (UPI) 并没有强制 3DS 验证,所以仍然可能受影响!
应对措施
如果您疑似在影响范围内,强烈建议采取以下措施:
- 立即解绑所有在美团绑定的外卡,防止被二次泄露。
- 对可能受影响的信用卡进行 锁卡 或 换卡 处理。
- 仔细检查信用卡的消费记录,如发现异常消费,及时向发卡行提出争议以挽回损失。
- 也可以向银行申请对信用卡启用强制 3DS 验证。
舆论环境
截至发稿时,此消息的准确性尚未得到完全确认。美团金融的相关部门尚未就此事发表官方声明。
开始捂嘴
于 10 月 2 日,美团在国内各社交平台开始删帖公关,企图降低热度冷处理。
而美团没有就此事发布公告回应,反倒开始在各国内平台大举公关捂嘴,间接坐实了存储 CVV 的传言,不打自招了。
建议用户持续关注国内关于美团、美团金融、钱袋宝(美团全资持牌机构)的相关舆论环境及官方的事件通报。如果事件未得到充分重视,可能会影响到后续的处理结果,损害您的个人权益。
名词解释
3DS
3DS,全称 3-D Secure,由 Visa 和 Mastercard 共同开发的一种两步验证标准。
卡料
黑产名词,指从各种非法渠道(如数据泄露、钓鱼网站、木马软件)收购来的一份包含 “卡号 有效期 CVV 姓名 地址” 等信息的清单,通过测活手段后进行盗刷。
测活
(也称为”验卡”或”探卡”),指黑产利用一些风控不高的支付网关对 “卡料” 进行预授权、小额消费 (0.1~2 usd 不等),以确认信用卡可用,以便进行下一步大额盗刷。
盗刷
整个黑色产业链条的最后一步,黑产通过不支持 3DS 的支付网关进行大额消费,随后使用各种成熟的洗钱手段对资金洗白。
锁卡
又称冻结、封卡,指暂时冻结所有与特定信用卡的交易,只入不出。
补卡
又称 “挂失卡片”、换卡,本是针对用户丢卡的情况而设定的机制,银行收取部分手续费后重新发行一张新的 卡号(可能不变)、有效期、CVV 信用卡。
https://www.hats-land.com/archives/security/2024-moutuan-credit-card-data-breach.html