攜程被曝存支付漏洞 大量用户銀行卡信息泄露

中新網3月24日電(IT頻道 吳濤)22日，烏雲漏洞平台發佈消息稱，攜程旅行網支付日誌存在漏洞，或導致大量用户銀行卡信息泄露。攜程隨後確認存在這一漏洞，併發聲明表示，有93名用户存在安全風險。雖然攜程表示漏洞已經修復，但這一安全事件仍引發諸多質疑。有專家表示，攜程保存客户銀行卡信息屬於違反銀聯的規定。

攜程存儲用户銀行卡信息 被指違反銀聯規定

據瞭解，此次攜程漏洞可使包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin泄露。據瞭解，CVV即 Card Verification Value，是由卡號、有效期和服務約束代碼生成3位或4位數字，一般寫在卡片磁條2磁道用户自定義數據區裏面。無需密碼支付的方式也叫信用卡“離線交易”，僅憑卡號、CVV碼等信息即可完成支付。專家提醒，CVV安全碼相當於信用卡“第二密碼”，需妥善保管。

針對攜程此次漏洞，新浪微博認證為“MediaV CTO，原Google技術總監”胡寧稱，用户信用卡信息泄露，並非犯低級技術錯誤這麼簡單，“敏感信息需加密存儲、線上開調試功能需慎重、系統日誌要及時清理、服務器安全性要達標，這都是常識”。

金山毒霸安全專家李鐵軍接受中新網IT頻道採訪時稱，從目前攜程和烏雲公佈的資料來看，攜程用户隱私的泄露過程還並不能完全肯定，但是結果造成的用户安全風險是非常大的。“除了被盜刷的可能，瞭解用户這些信息後還可以創建第三方支付賬號，綁定信用卡實現境外購物。”據瞭解，信用卡有一種支付功能為離線支付，這種支付方式只要知道了用户的基本信息和CVV代碼後就可以實現支付。

據多家媒體報道，此次漏洞在於攜程記錄了用户的CVV代碼，上海鼎力律師事務所孫建中律師表示，攜程保存客户信息屬於違反銀聯的規定，從《消費者權益保護法》看，其技術手段未盡到保護消費者的義務。財新傳媒總編輯胡舒立也直接指出，攜程不是第三方支付機構，無權保留銀行卡信息。

另一方面，PCI-DSS(第三方支付行業數據安全標準)規定了不允許存儲CVV，但攜程支付頁面稱通過了PCI認證，同樣令人費解。

安全專家：被記錄過CVV代碼的用户都必須換卡

攜程在聲明中表示，“截至23日22:00，沒有接到攜程換卡通知的客户，個人信息均是安全的，無需擔心。”攜程表示，目前有93人賬户存在安全風險，並承諾未來如果因安全漏洞引起用户損失，攜程將承擔全部責任並給與賠償。

但是這份聲明或並沒有打消用户的擔心，不少攜程用户在微博表示“必須換卡”。 據瞭解，作為國內在線旅遊市場份額最大服務商，攜程日均酒店預訂、票務預訂等業務量以十萬計。不少網友表示，這樣大規模的一家企業，即便是如攜程所表示僅21日、22日的部分交易客户存風險，難道僅僅是93位嗎？

另一方面，怎麼界定信用卡被盜刷同攜程漏洞有關也是一個問題。網友@舞劇3D：攜程所謂賠付的承諾根本不可信，因為你根本無法舉證信息泄露與攜程有關。還有網友指出，即便現在信用卡沒有被盜刷，黑客還是可能把泄露的信息保存起來靜默一段時間再動手，而到時被盜刷的原因也很難判斷。“如果信用卡被用此種方式盜刷，維權也很困難，因為銀行會認為是本人持卡在執行這些操作。”李鐵軍表示。

有業內人士指出，從目前來看，最為保險的做法是“換卡”。 但是哪些用户有換卡的必要呢？是否攜程所有用户都必須換卡？“從目前攜程和烏雲披露的信息中並不能確定是否所有攜程用户信息都被泄露，但是隻要被記錄過CVV的用户就必須更換信用卡。”李鐵軍表示。

攜程安全隱患可能並未根本解除

攜程在公告中稱，攜程已通知存在潛在風險的93名用户更換信用卡，經銀行反饋，目前並沒有發生攜程用户寫用卡被盜刷的情況。但事情似乎並不這麼簡單。

李鐵軍分析稱，這次的事件並沒有根本上解決風險的可能，因為從目前來看攜程違反了銀聯此前禁止記錄CVV的規定。“結合此前攜程支付方面受到的安全質疑，攜程在之前或還存在記錄用户CVV的嫌疑。”

據多家媒體報道，此前已有攜程用户對於攜程支付安全提出質疑，攜程回應稱攜程採用的信用卡支付方式符合國際慣例，且公司內部有足夠的風險把控能力。微博實名認證為廣西易搜科技有限公司CEO的嚴茂軍昨日在微博上表示，“早在2月25日就致電過攜程我綁定攜程的幾張信用卡被盜刷十幾筆外幣的事件，當時他們回覆系統安全正常。”

昨日，羊城晚報援引安全人士表示，“但從目前情況看，攜程的支付系統的確存在很多不確定性，風險程度很高。除了黑客盜取信息，公司內部對用户信息管理情況也令人擔憂。”

雖然不少攜程的用户在看到消息之後，已經連夜向銀行申請取消信用卡。但在奇虎360首席隱私官譚曉生看來，從已知信息來説，仍不能準確斷定是否已經有大規模泄露發生，真正的情況只有當事企業自己清楚。(中新網IT頻道)