３月２２日晚间，乌云网在其官网上公布了一条网络安全漏洞信息，指出国内知名旅游网站携程网安全支付日志可遍历下载，导致大量用户银行卡信息泄露。目前，该漏洞已被修复。

携程方面在经过两小时紧急排查后第一时间表态，如有用户因此漏洞造成财产损失，携程将予以赔偿。昨天下午，携程再发声明，表示９３名潜在风险用户已被通知换卡，其余携程用户用卡安全不受影响。

信息可能被黑客读取

该漏洞发现者称，由于该漏洞存在，携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露，包含持卡人姓名、身份证、银行卡号、卡ＣＶＶ２码、６位卡Ｂｉｎ等。据悉，该漏洞之所以存在，是因为携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来，同时因为保存支付日志的服务器未做较严格的基线安全配置，存在目录漏洞，导致所有支付过程中的调试信息可被任意黑客读取。

网上平台有权保留消费者信用卡的详细信息吗？据业内人士介绍，信用卡信息主要包含卡号、有效期、ＣＶＶ２码等，其中打印在卡片签名区的３位ＣＶＶ２码又被称作“第二密码”，掌握着该卡的交易授权，即只要提供正确的ＣＶＶ２码，就能完成支付环节。记者在中国银联风险管理委员会２００８年发布的《银联卡收单机构账户信息安全管理标准》中看到规定：各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码（ＰＩＮ）及卡片有效期。

在这个消息被曝出以后，商报记者也迅速联系了携程网相关人士问询情况，该人士也在第一时间给出了携程官方的声明，“在该消息发布后，携程旅行网立即展开技术排查并在消息发布两个小时内修复问题。携程对于乌云平台发现漏洞信息表示感谢，并将对于提供漏洞信息者给予重奖。携程旅行网始终对信息安全非常重视，对于此次漏洞事件如果有新的进展将持续通报。”

同时，携程表示，可能受影响的为３月２１日与３月２２日的部分交易客户，目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全核查工作，如果有用户因为该漏洞造成财产损失，携程将赔偿损失。

风险用户已被通知换卡

昨天下午，携程方面再向商报记者提供了最新的支付安全声明，携程表示，携程用户持卡人的支付信息，如姓名、身份证、银行卡号、卡ＣＶＶ码、６位银行卡ＢＩＮ（与６位支付密码无关）均按照国际信用卡支付安全标准要求，经过加密处理，携程对所有用户的信息安全全权负责。

携程表示这个漏洞已经被修复。经查，携程的技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。

“经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及９３名存在潜在风险的携程用户。携程客服于昨日通知相关用户更换信用卡，银行方面也会尽快协助用户办理换卡手续。目前，还没有接到携程客服换卡通知的用户，个人信息均是安全的，无需担心。”

另外，为了更好地保障用户及网站的安全，携程表示将广邀信息安全卫士，一起来加固系统信息安全。上周，携程已建立安全应急响应中心，并设立了总额５００万的信息安全奖励基金，奖励为携程找出漏洞的信息安全卫士。同时，携程将邀请国际知名信息安全认证机构，来共同保障用户的个人信息安全。

不过，虽然携程的反应很及时，并且做出了承诺，但是仍有不少用户以及业内人士不买账，“从目前情况看，携程的支付系统的确存在很多不确定性，风险程度很高。除了黑客盗取信息，公司内部对用户信息管理情况也令人担忧。”一位业内人士提醒，安全起见注销原卡更换新卡是最佳选择，若不想更换信用卡，市民今后需留心信用卡账单是否存在可疑消费记录，以及留意信用卡消费确认短信。此外，有不少网友表示，以后将“告别”携程。

来源:上海商报