“攜程在手，說走就走。”看似輕松的廣告語背后，卻隱藏著信用卡泄密的風(fēng)險。

3月22日晚，全國知名票務(wù)服務(wù)公司、在美國納斯達克上市的攜程旅行網(wǎng)遇上了一片“烏云”。據(jù)國內(nèi)漏洞報告平臺烏云披露：攜程旅行網(wǎng)支付日志存在漏洞，用戶銀行卡信息可被黑客任意讀取。一時間，公眾對于隱私安全的敏感神經(jīng)再一次被挑動。而互聯(lián)網(wǎng)大數(shù)據(jù)應(yīng)用的信息安全問題也被推至風(fēng)口浪尖。

一名安全專家舉例說明，黑客可以通過用戶的手機號碼、銀行卡號和信用卡驗證碼注冊第三方支付賬號，從而跳過用戶和銀行綁定的手機，進行盜刷。“這些數(shù)據(jù)可以用來創(chuàng)建或關(guān)聯(lián)第三方支付，國內(nèi)第三方支付公司多達幾百家，可以利用的點很多。受害者很容易出現(xiàn)資金被盜的情況。”

據(jù)悉，目前攜程已建立安全應(yīng)急響應(yīng)中心，并設(shè)立了信息安全獎勵基金，獎勵為攜程找出漏洞的信息安全衛(wèi)士。

攜程高危害漏洞或致消費者信息泄露

22日晚間，不少用戶發(fā)現(xiàn)，在微博和微信朋友圈內(nèi)， “有沒有攜程信用卡”、“快點去注銷所有在攜程用過的信用卡”、“招行已經(jīng)開通攜程上相關(guān)信用卡注銷換卡的綠色通道”等消息此起彼伏。而烏云平臺一段關(guān)于技術(shù)的描述，被認(rèn)為是引發(fā)這一風(fēng)波的重要原因。

烏云平臺披露信息顯示，“由于攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能，將用戶支付的記錄用文本保存了下來。同時因為保存支付日志的服務(wù)器未做嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取”。據(jù)悉，這一被歸類為“敏感信息泄露”的高危害等級漏洞，被指可能導(dǎo)致大量攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息外泄。

雖然攜程方面公布，3月21日與3月22日的部分交易客戶可能受到影響，但已有部分使用攜程預(yù)定過機票和酒店的消費者為保險起見，選擇立即掛失銀行卡或者修改密碼。

許多攜程會員擔(dān)憂，在攜程上綁定了信用卡或者用自己的信用卡交易過，那么信用卡的信息面臨泄露的風(fēng)險。而一旦用戶信息已經(jīng)泄露，攜程是否補上漏洞對用戶就沒有什么意義了。

涉嫌違反信息安全管理標(biāo)準(zhǔn)

“第一次使用信用卡支付時，需提供信用卡卡種、卡號、CVV2碼（即信用卡驗證碼）等一系列完整信息，然后提交支付。但是，第二次在攜程網(wǎng)使用這張信用卡時，只需提供卡號后四位及CVV2碼，攜程網(wǎng)就會完成這次支付操作。” 攜程會員鄒女士對記者說，“這就意味著，攜程存儲了用戶的相關(guān)信用卡信息。如果泄露出去，那就太可怕了！”

記者在中國銀聯(lián)風(fēng)險管理委員會2008年發(fā)布的《銀聯(lián)卡收單機構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》中看到如下表述：各收單機構(gòu)系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本賬戶信息，不得存儲銀行卡磁道信息、卡片驗證碼、個人標(biāo)識代碼及卡片有效期。顯然，攜程網(wǎng)的做法已經(jīng)明顯違反了上述標(biāo)準(zhǔn)，

一名不愿具名的安全行業(yè)人士在接受《每日經(jīng)濟新聞》記者采訪時認(rèn)為，像淘寶網(wǎng)、京東商城購物時都不會記錄CVV信息，用戶是直接將銀行卡數(shù)據(jù)提交給了銀行。“攜程網(wǎng)的做法明顯是違規(guī)的，無論是否發(fā)生泄密，這是一種潛在的風(fēng)險。尤其是攜程披露的93名有可能受影響的用戶，其銀行卡信息已足以用于信用卡復(fù)制、克隆。”

他建議，如果用戶在一周內(nèi)使用過攜程，特別是21、22日兩天的用戶，可以選擇換卡，并等待攜程進一步公開的信息。“一年到一周之間的用戶，個人認(rèn)為風(fēng)險并不大如果不凍結(jié)，那么可以選擇開通消費短信提醒等信息，幫助加強安全管理。”

93名用戶已接通知要求換卡

22日晚，烏云網(wǎng)發(fā)布消息提到，攜程技術(shù)人員已經(jīng)確認(rèn)該漏洞，并在兩小時內(nèi)修復(fù)。對此，攜程網(wǎng)表示，該漏洞受影響的用戶為近期的部分交易客戶，目前并沒有用戶受到該漏洞的影響而造成相應(yīng)財產(chǎn)損失的情況發(fā)現(xiàn)，用戶在攜程的交易仍舊安全。此外，如有用戶因為該漏洞造成的財產(chǎn)損失，攜程將給予賠償。

昨日下午，攜程網(wǎng)再次回應(yīng)稱，共有93名用戶的支付信息存在潛在風(fēng)險，已通知這些用戶更換信用卡。據(jù)解釋，漏洞是由于該公司技術(shù)開發(fā)人員排查系統(tǒng)疑問時未及時刪除臨時日志而產(chǎn)生的。目前，這些信息已被全部刪除。 隨后攜程表示，客服人員于昨日通知相關(guān)用戶更換信用卡，并稱銀行方面也會協(xié)助用戶辦理換卡手續(xù)。截至23日22：00，如果沒有接到攜程客服換卡通知的用戶，個人信息便是安全的。

MediaV CTO（首席技術(shù)官）、原Google技術(shù)總監(jiān)胡寧分析，可能攜程并未故意存儲CVV信息。不過，“用戶信用卡信息泄露，并非犯低級技術(shù)錯誤這么簡單。敏感信息需加密存儲、線上開調(diào)試功能需慎重、系統(tǒng)日志要及時清理、服務(wù)器安全性要達標(biāo)，這都是常識。”胡寧表示。

盡管其他網(wǎng)站并未暴露與攜程網(wǎng)一樣的危機，但大數(shù)據(jù)時代的網(wǎng)絡(luò)信息安全還是受到了拷問，也讓方興未艾的網(wǎng)絡(luò)支付蒙上陰影。

新聞鏈接

在線旅游行業(yè)受到震蕩

攜程“安全門”事件在引發(fā)公眾討論的同時，也對發(fā)展壯大中的在線旅游（OTA）互聯(lián)網(wǎng)行業(yè)帶來一次大的震蕩。

“在線旅游行業(yè)是國內(nèi)最早在機票、酒店領(lǐng)域?qū)崿F(xiàn)信用卡預(yù)授權(quán)的行業(yè)，在支付寶和微信支付未流行起來之前，攜程和藝龍作為在線旅游行業(yè)的代表，已經(jīng)將線上支付通過信用卡的模式搞得比較普及了，很多高端商旅用戶都是因為在攜程和藝龍具有便捷的信用卡支付功能而使用它們的服務(wù)。這次的事件無疑將會對商旅用戶這部分群體產(chǎn)生較大的影響。”旅游行業(yè)資深分析人士鄭榮鋒告訴記者。

“攜程曝出的漏洞也會對其他電商平臺起到警示作用，尤其是OTA應(yīng)迅速自查，避免類似的事件再次發(fā)生，影響消費者權(quán)益。”勁旅咨詢CEO魏長仁認(rèn)為。