攜程的禍根其實早已埋下

        “攜程在手、說走就走”，現在成了跟著“走”的還有用戶的信用卡支付信息。在 3 月 22 日烏云漏洞平臺爆出攜程的安全漏洞可導致用戶個人和銀行卡信息等泄露，包含持卡人姓名身份證、銀行卡號、卡 CVV 碼、6 位卡 Bin。

        攜程目前已經確認該漏洞，公司相關部門也已經在第一時間展開技術排查并在消息發布兩個小時內進行了漏洞彌補工作。攜程網還表示，對于烏云平臺發現的漏洞信息表示非常重視和感謝并將對于提供漏洞信息者給與重獎。對于此次漏洞事件如果有新的進展將持續通報。

        這件看似是在昨日才被爆出的安全漏洞，其存在時間可能遠超過大家的想象。早在今年 1 月 10 日中國網財經頻道的一篇新聞中，就已經對攜程網的安全問題提出過質疑，但并未引起攜程的重視，以至于在近期被爆出安全漏洞。

        不妨回顧一下這篇文章，你會發現攜程的禍根其實早已埋下

        原文如下：

        攜程被指儲存信用卡敏感信息存在泄露風險

        日前，多名消費者向中國網財經中心反映，稱在攜程網購買產品時，只需進行簡單的信息核對即可完成交易。消費者張先生稱，自己持信用卡首次在攜程 網消費時，需提供信用卡卡種、卡號、有效期、CVV2 碼(即信用卡驗證碼)等一系列完整信息，然后提交支付。“然而當我第二次在攜程網使用這張信用卡時，只需提供卡號后四位及 CVV2 碼，攜程網就會完成這次支付操作。

        如果當初(攜程網)沒有在系統中儲存信息，它又是如何完成支付的呢？”張先生表示，如此“便捷”的操作讓他對自己的信用卡安全倍感擔憂，“只要 知道這張信用卡卡號和 CVV2 碼的人，就可以用它來消費，根本不需要任何動態或者其他形式的密碼，我的資金安全該由誰來保障呢？”

        還有消費者稱，攜程網的人工客服會向用戶直接索要信用卡有效期、CVV2 碼等敏感信息。中國網財經中心記 者以電話購買機票為由，撥通了攜程網客服電話，在支付環節，記者按語音要求輸入信用卡卡號后，客服人員口頭詢問記者該信用卡的有效期及 CVV2 碼，當記者提出上述敏感信息不方便透露時，客服人員表示“如不提供，就不能完成預定”，并強調攜程網不會儲存信用卡卡號信息。此外，記者在檢索相關信息時 發現，不少消費者遭遇過信用卡被盜刷的事件，金額從 2 萬元至 500 萬元不等。

        銀聯明文禁存信用卡信息攜程稱系國際慣例

        據業內人士介紹，信用卡信息主要包含卡號、有效期、CVV2 碼等，其中打印在卡片簽名區的 3 位 CVV2 碼又被稱作“第二密碼”，掌握著該卡的交易授權，即只要提供正確的 CVV2 碼，就能完成支付環節。中國網財經中心記者在中國銀聯風險管理委員會 2008 年發布的《銀聯卡收單機構賬戶信息安全管理標準》中看到如下表述：各收單機構系統只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息，不得存儲銀行 卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。

        攜程網華北區公關負責人在接受中國網財經中心記者采訪時表示，攜程網采用的信用卡支付方式符合國際慣例，“在多年前我們已經得到萬事達、 VISA 等卡組織的認證，由此可見，這些國際金融機構對攜程網的的風險控制能力和安全保密能力是持認可態度的，否則他們也不會授權給我們。”

        當記者追問攜程網客服人員口頭索要信用卡有效期、CVV2 碼等敏感信息，如何保障內部員工不泄露時，這名負責人稱此舉也系國際通用做法，“公司既然使用這種方式，肯定對風險有足夠的把控能力。”而對于記者提出的 “攜程網是否違反銀聯規定，在后臺保存了用戶信用卡相關信息”時，對方未予明確回答。

        該負責人強調，攜程網從未出現過信用卡盜刷案件，“因為我們主推的是旅游產品，預定時需要消費者提供身份證號碼等個人信息，因此一旦盜刷，也能 很快查出(嫌疑人)。”但有消費者向記者反映，盜卡人常常在網絡論壇以售賣低價機票的方式，利用買家提供的身份證信息去完成消費，“即使警方查出機票實際 使用人，人家也是被騙的受害者，如何追究責任呢？”

        網站保存 CVV 就相當于偷偷配了你家的鑰匙，這是攜程無論如何都不該保存的信息。

                    <span id="shareA4" class="fl">                          </span> 

</div>