近日，國內(nèi)著名在線票務(wù)服務(wù)公司攜程旅行網(wǎng)（以下簡稱攜程）被烏云爆出信息安全漏洞，可能導(dǎo)致多項個人隱私信息泄露，引發(fā)攜程用戶的巨大恐慌和大眾對信息安全的再次強烈關(guān)注。

有業(yè)內(nèi)人士告訴記者，“在信息爆炸和大數(shù)據(jù)時代，信息安全原罪或許會成為一枚定時炸彈，不斷引爆大眾對個人信息安全深重的憂慮，引發(fā)對企業(yè)道德責(zé)任感的拷問。”

中國經(jīng)濟網(wǎng)記者就此采訪了攜程公共事業(yè)部的李先生，李先生稱攜程承諾“將在交易完成后立即刪除用戶的敏感信息，不再保存”，至于何時能把已存的用戶隱私信息刪除完畢，暫時還不能確定。

“烏云”壓攜程 攜程“誠”欲摧

3月22日，著名漏洞報告平臺烏云連續(xù)披露攜程的兩個安全漏洞，漏洞發(fā)現(xiàn)者稱，由于攜程開啟了用戶支付服務(wù)接口的調(diào)試功能，支付過程中的調(diào)試信息可被任意駭客讀取。該發(fā)現(xiàn)者還列出了可能泄露的用戶信息，包括“持卡人姓名、身份證、銀行卡類別、銀行卡卡號、銀行卡CVV碼、銀行卡6位Bin”。得知消息后，許多攜程用戶紛紛準(zhǔn)備換卡。

據(jù)悉，烏云曾因2011年連續(xù)披露國內(nèi)多個著名網(wǎng)站的用戶賬號密碼外泄事件而聲名大噪。烏云在其官方介紹中的一句誓言或許表明了其心跡：“我們堅信它是匯聚互聯(lián)網(wǎng)安全研究者力量的，將帶來暴風(fēng)雨清洗一切的烏云。”

這樣的一團“烏云”，3月22日帶來了一場轟動網(wǎng)絡(luò)的暴風(fēng)雨，澆透了攜程。攜程樹立“誠信”形象的大廈在一些用戶的心中轟然倒塌，“攜程在手，說走就走”的廣告語也被網(wǎng)友調(diào)侃為“攜程在手，密碼說走就走”。

對于深陷“漏洞門”的攜程來說，這次所面對的確是一場暴風(fēng)雨。

攜程多次發(fā)聲明 難解部分用戶疑問

3月22日晚9點，攜程在其官方微博發(fā)表了第一條聲明：“我相關(guān)部門已經(jīng)在第一時間展開技術(shù)排查并在消息發(fā)布兩個小時內(nèi)進行了漏洞彌補工作。目前沒有用戶受到該漏洞的影響而造成相應(yīng)財產(chǎn)損失的情況發(fā)現(xiàn)。”

面對某用戶“被盜刷的話，你們負責(zé)嗎”的疑問，攜程回復(fù)：“用戶因為該漏洞造成的財產(chǎn)損失，攜程將給予賠償。”但有用戶提示，“知道如何賠付嗎？用戶必須舉證：1、交易非本人發(fā)起；2、證明盜用者是從攜程而非其他地方獲取的交易敏感信息”。

在巨大的輿論壓力下，攜程再度發(fā)表聲明：“經(jīng)攜程排查，僅漏洞發(fā)現(xiàn)人做了測試下載，內(nèi)容含有極少量加密卡號信息，共涉及93名存在潛在風(fēng)險的攜程用戶。攜程客服于今日通知相關(guān)用戶更換信用卡”，而且“經(jīng)各銀行反饋，截至目前，沒有發(fā)生攜程用戶信用卡被盜刷的情況”。

對此，也有用戶連發(fā)三問：“請問攜程如何判斷只有漏洞發(fā)現(xiàn)人下載了？如何判斷他確實把數(shù)據(jù)刪除了？如何判斷他刪除后不能再恢復(fù)了？”這些問題，恐怕只有攜程能夠回答。

保存CVV信息疑違規(guī) 攜程承認做法不對

用戶集中提出了一個重要的問題——攜程為什么保存用戶的CVV信息？

所謂CVV信息，是指銀行信用卡背后的三位驗證碼。在“離線交易”環(huán)節(jié)，用戶只需提供卡號和CVV信息即可完成支付。因此可以說，CVV信息掌握著卡的交易授權(quán)，屬于高度機密的用戶隱私信息。

有用戶指出，“CVV碼只能用于交易時驗證，不允許商家交易后存儲。這個設(shè)計就是為了在數(shù)據(jù)不幸泄露時避免對持卡用戶造成經(jīng)濟損失。所以攜程為什么要存這個信息呢？”

對于這些疑問，攜程的工作人員給記者做了解釋，“由于旅游行業(yè)的特殊性，以機票和酒店為代表的旅游產(chǎn)品，價格會隨著庫存、預(yù)訂時間實時變化。對于在線旅游網(wǎng)站而言，將用戶的姓名、身份證、信用卡號、CVV碼等儲存起來，預(yù)訂反應(yīng)機制會更加靈活，能優(yōu)化消費者體驗，這或許可稱為是該行業(yè)的一種潛規(guī)則。”不過，該工作人員也承認，“這種做法確實是錯誤的。”

經(jīng)記者調(diào)查了解，根據(jù)中國銀聯(lián)風(fēng)險管理委員會于2008年發(fā)布的《銀聯(lián)卡收單機構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》，各收單機構(gòu)系統(tǒng)只能存儲用于交易清分、差錯處理所必須的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗證碼、個人標(biāo)識代碼（PIN）及卡片有效期。

顯然，攜程保存的用戶信息已經(jīng)超過了該標(biāo)準(zhǔn)的允許范圍，違反了上述標(biāo)準(zhǔn)的規(guī)定。有攜程用戶如此描述這種行為，“這叫好比我把鑰匙給你，請你幫忙去我家里取個東西，回來你卻偷著配了把鑰匙放你自己兜里。”

諷刺的是，僅僅兩個月前，攜程在面對某媒體對其支付安全性的質(zhì)疑時，明確回復(fù)“攜程網(wǎng)的后臺不會記錄用戶的支付信息”。

承諾不再保存CVV 信息安全警鐘長鳴

面對洶涌襲來的輿論大潮，攜程在其官網(wǎng)發(fā)表最新聲明稱，將會嚴(yán)格按照監(jiān)管部門的要求，對支付流程進行整改，取消對用戶CVV信息的詢問和登記，不再保存用戶的CVV信息，以前保存的CVV信息正在刪除。

3月27日，在記者問到“何時能將已存的CVV信息完全刪除”時，攜程的工作人員表示暫時還不能確定。

目前，攜程正采取一系列補救措施，比如啟動CFCA和PCI的認證程序等，試圖挽回因此失去的市場和信譽。

針對此事，有專家指出，“移動互聯(lián)網(wǎng)應(yīng)用的迅猛發(fā)展將助推在線旅游服務(wù)的“蛋糕”越做越大，但其中隱含的問題也會隨之浮出水面。攜程此次泄露信息事件反映出在線支付行業(yè)不僅要加強行業(yè)自律，也需要監(jiān)管部門強力介入，通過出臺明文法規(guī)，將在線支付納入到行業(yè)監(jiān)管的大局之下。”

至此，從上周六開始“發(fā)酵”的攜程“漏洞門”，似乎將告一段落。然而，有業(yè)內(nèi)人士指出，“攜程是行業(yè)巨頭，又是上市公司，居然也在安全問題上犯這樣的錯誤，只能說沒有把用戶的利益放在第一位，同時也反映出當(dāng)前互聯(lián)網(wǎng)界整體安全意識淡薄的現(xiàn)狀。”

另有業(yè)內(nèi)人士提醒，“攜程如果處理不好此事，面對的不僅僅是短期內(nèi)企業(yè)形象受損和信任度下降，而且可能面臨用戶的大量流失、集體賠償訴訟乃至有關(guān)機構(gòu)的巨額罰金。”可以肯定的是，此次事件會對其它在線支付平臺起到警示作用。