携程支付日志存在漏洞 拷问网络支付安全难题

　　据中国报告大厅了解：3月24日消息，22日携程被曝支付日志存在漏洞，用户银行卡信息可被黑客读取，用户个人信息、银行卡信息可能会遭泄露。携程23日对此致歉并承诺，未来倘若发生安全漏洞并引起用户损失，携程将给予全额赔付。

　　3月22日晚，乌云漏洞平台发布消息称，携程系统存技术漏洞，可导致用户个人信息、银行卡信息等泄露；漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV码（卡号、有效期和服务约束代码生成的3位或4位数字）等，上述信息可能被黑客读取。乌云是位于厂商和安全研究者之间的安全问题反馈平台，此前多次发布国内企业信息系统的技术漏洞，推动企业进行漏洞修复。

　　这件事情引起的震动颇大，尽管爆出消息的乌云漏洞平台在报告时措辞比较专业，但“可被任意黑客读取”几个字消费者还是懂的，这也是恐慌的根源。周围很多人第一时间致电发卡银行，请求更换信用卡或挂失，因接入用户过多，一些银行客服电话还遭遇占线，这是以前从未遇到过的。

　　携程方面针对此事给用户造成的困扰发表致歉。携程表示，经过连夜技术排查，公司已经在发现问题后的两小时内修复了这个漏洞，经查，携程的技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。93名潜在风险用户已被通知换卡，其余携程用户用卡安全不受影响。事件发生后，携程同各大银行均取得联系，经核实，目前也没有出现用户信用卡被盗刷的情况。携程郑重承诺，未来，倘若发生安全漏洞并引起用户损失，携程将给予全额赔付。”

　　然而，事件的影响并未平息。有银行客服反映称，携程网的公告安抚可能收效甚微，工商银行某客服人员告诉记者，昨天（3月23日）打电话要换卡的人很多，“我自己就接了10个左右”。

　　最新旅游行业报告请查阅中国报告大厅发布的《2012-2016年旅游行业市场发展现状及投资预测分析报告》。

　　违反“禁止记录CVV”规定？

　　根据乌云的报告，漏洞泄露的信息包括用户持卡人的姓名、身份证号、银行卡类别、银行卡号、银行卡CVV码（即由卡号、有效期和服务约束代码生成的3位或4位数字），以及银行卡6位Bin（用于支付的6位数字）。也就是说，黑客若有了这一套信息，就能盗用用户账户。事件发生当晚，携程方面确认了这一“安全漏洞”的存在。

　　针对乌云的爆料，质疑声转向了 “携程违反了银联此前禁止记录CVV的规定”。据宇博智业了解，CVV即银行信用卡背后的三位验证码，在“无卡支付”环节，只需提供卡号及此三位验证码就可完成支付。

　　“携程在事件中有责任，信用卡CVV码不应该保存在本地平台。携程在付款过程中需要记录并转发给银行接口用户信息，但是记录日志，破坏了支付安全性。”旅游界资深人士爱游观察负责人郑荣锋向记者表示，相信此次事件对携程的品牌和信誉度已经造成影响，特别是长期以来对携程服务有依赖性的商旅客户。

　　作为敏感的隐私泄密事件，这次事故在微博和微信等社交平台产生了大量的转发传播。尤其近期传言国家将对互联网金融的发展作出限制，这次事件对于“支付宝们”不是好消息。

　　劲旅咨询CEO魏长仁亦分析指出，“这个事件肯定会影响消费者对携程的信任度。因为现在基本全部的机票款，部分酒店，旅游度假和其他更多类型产品都需要在线支付。这个事件一定会促使携程对用户信息安全问题更加重视。”

　　拷问OTA支付安全难题

　　“在线旅游行业应该是国内最早在机票、酒店领域实现信用卡预授权的行业，在支付宝和微信支付未流行起来之前，携程和艺龙作为在线旅游行业的代表，已经将线上支付通过信用卡的模式普及得非常优秀了。很多高端商旅用户都是因为携程和艺龙上具有便捷的信用卡支付功能，而使用它们的服务。事件会对这部分商旅用户群体产生比较大的影响。”郑荣锋指出。

　　在线旅游行业一资深合伙人向记者透露，“实际上，OTA们对信息的安全是非常重视的，在我的观察里，不管是携程、去哪儿网还是艺龙，他们在数据保密方面还是做得很好的。”

　　“现在携程方面曝出用户（隐私）的泄露，也会对其他电子商务平台起到警示作用。OTA们应该迅速自查，避免类似的事件再次发生，影响消费者权益。”魏长仁说。

　　宇博智业市场专员了解到，近年随着移动网络的发展、互联网理财产品的风靡，平板电脑、智能手机等手持终端设备的普及，新型移动支付领域也成了钓鱼软件、黑客等的觊觎之地。CNNIC最新数据显示，2013年因网上支付发生安全问题的网民数占整体上网人数的4.0%，影响人数达2010.6万人。其中，个人信息泄露比例达42.9%，账号密码被盗比例达23.8%。

　　层出不穷的新型骗术、花样翻新的黑客木马，无一不在拷问着网络支付安全问题。“创新永远伴随着风险，相关机构应提高自身安全技术业务；同时，希望更多宣传和普及用户安全意识教育。希望有更多国际知名信息安全认证机构一起保障用户的个人信息安全。这个过程就犹如监管和检查食品安全一样。”华美酒店顾问有限公司首席知识管理专家赵焕焱强调。

　　大数据安全蒙阴影

　　尽管其他网站并未暴露与携程网一样的风险，但大数据时代的网络信息安全还是受到拷问。

　　此前，包括当当网、亚马逊、京东商城、7天酒店在内的多家网站也曾爆出用户个人信息遭泄露的报告，但是个人信息与信用卡信息相比，携程网的纰漏显然更为严重。

　　安全专家举例说明，黑客可以通过用户的手机号码、银行卡号和CVV注册第三方支付账号，从而跳过用户和银行绑定的手机，进行盗刷，“这些数据可以用来创建或关联第三方支付，国内第三方支付公司多达几百家，可以利用的点很多。受害者可能随时出现资金被盗。”

　　对此，携程网人士解释称，这是携程旅行网在技术调试过程中，出现了短时漏洞。“除漏洞发现人做了少量的测试下载并已全部删除外，没有出现恶意下载有关数据的情况，用户在携程的交易仍旧是安全的，用户信息没有受到影响。”

　　MediaVCTO、原Google技术总监胡宁分析，可能携程并未故意存储CVV信息，但其数据传输为明文，且线上竟长时间打开调试功能，导致系统日志中亦为明文，又未及时清理，所存储的服务器还有安全漏洞。一步错，步步错，“用户信用卡信息泄露，并非犯低级技术错误这么简单。敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标，这都是常识。”胡宁说。

　　据悉，携程已建立安全应急响应中心，并设立了信息安全奖励基金，奖励为携程找出漏洞的信息安全卫士。此事也给当前火热的网络支付以及大数据安全蒙上阴影。