攜程「漏洞門＂:＂大資料＂呼喚＂大安全」

互聯網將人們帶入了大資料時代，大資料被稱為未來的資訊「金礦」。 這些資料的價值越來越被重視，無數雙眼睛正窺視著這筆無形的資產。

「攜程在手，說走就走。 」看似輕鬆的廣告語背後，卻隱藏著信用卡洩密的風險。 3月22日晚，全國知名票務服務公司、在美國納斯達克上市的攜程旅行網遇上了一片「烏雲」。 據國內漏洞報告平臺烏雲披露：攜程旅行網支付日誌存在漏洞，使用者銀行卡資訊可被駭客任意讀取。

中國互聯網資訊中心調查報告顯示，2013年我國網購使用者規模已達到3.02億人，參與網購的使用者數還在呈現爆炸性增長。 每天我們都要和形形色色的網站打交道，攜程事件再次撥動公眾敏感神經：

你曾經在多少家網站上留下過多少資訊?這些網站會不會濫用抑或不慎洩露這些資訊?這次攜程也許只是不慎開啟了資訊可能被洩露的「潘朵拉之盒」，可是，如果有些網站故意為之甚至盜用這些資訊，豈不是輕而易舉?這些資訊被洩露後， 將給我們帶來怎樣的損失?...... 一系列問題在等待答案。

22日，烏雲漏洞平臺發佈消息稱，攜程旅行網支付日誌存在漏洞，或導致大量使用者銀行卡資訊洩露。 攜程隨後確認存在這一漏洞，併發聲明表示，有93名使用者存在安全風險。 雖然攜程表示漏洞已經修復，但這一安全事件仍引發諸多質疑。 有專家表示，攜程保存客戶銀行卡資訊的做法違反銀聯的規定。

攜程存儲使用者銀行卡資訊 被指違反銀聯規定

據瞭解，此次攜程漏洞可使包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin洩露。 據瞭解，CVV即 Card Verification Value，是由卡號、有效期和服務約束代碼生成3位或4位數位，一般寫在卡片磁條2磁軌使用者自訂資料區裡面。 無需密碼支付的方式也叫信用卡「離線交易」，僅憑卡號、CVV碼等資訊即可完成支付。 專家提醒，CVV安全碼相當於信用卡「第二密碼」，需妥善保管。

針對攜程此次漏洞，新浪微博認證為「MediaV CTO，原Google技術總監」胡甯稱，使用者信用卡資訊洩露，並非犯低級技術錯誤這麼簡單，「敏感資訊需加密存儲、線上開調試功能需慎重、系統日誌要及時清理、伺服器安全性要達標， 這都是常識」。

金山毒霸安全專家李鐵軍接受中新網IT頻道採訪時稱，從目前攜程和烏雲公佈的資料來看，攜程使用者隱私的洩露過程還並不能完全肯定，但是結果造成的使用者安全風險是非常大的。 「除了被盜刷的可能，瞭解使用者這些資訊後還可以創建協力廠商支付帳號，綁定信用卡實現境外購物。 」據瞭解，信用卡有一種支付功能為離線支付，這種支付方式只要知道了使用者的基本資訊和CVV代碼後就可以實現支付。

據多家媒體報導，此次漏洞在於攜程記錄了使用者的CVV代碼。 上海鼎力律師事務所孫建中律師表示，攜程保存客戶資訊的做法違反銀聯的規定，從《消費者權益保護法》看，其技術手段未盡到保護消費者的義務。 財新傳媒總編輯胡舒立也指出，攜程不是協力廠商支付機構，無權保留銀行卡資訊。

另一方面，PCI-DSS(協力廠商支付行業資料安全標準)規定了不允許存儲CVV，但攜程支付頁面稱通過了PCI認證，同樣令人費解。

安全專家：被記錄過CVV代碼的使用者都必須換卡

攜程在聲明中表示，「截至23日22時，沒有接到攜程換卡通知的客戶，個人資訊均是安全的，無需擔心。 」攜程表示，目前有93人帳戶存在安全風險，並承諾未來如果因安全性漏洞引起使用者損失，攜程將承擔全部責任並給與賠償。

但是這份聲明或並沒有打消使用者的擔心，不少攜程使用者在微博表示「必須換卡」。 據瞭解，作為國內線上旅遊市場份額最大服務商，攜程日均酒店預訂、票務預訂等業務量以十萬計。 不少網友表示，這樣大規模的一家企業，即便是如攜程所表示僅21日、22日的部分交易客戶存風險，難道僅僅是93位嗎?

另一方面，怎麼界定信用卡被盜刷同攜程漏洞有關也是一個問題。 網友@舞劇3D稱，攜程所謂賠付的承諾根本不可信，因為你根本無法舉證資訊洩露與攜程有關。 還有網友指出，即便現在信用卡沒有被盜刷，駭客還是可能把洩露的資訊保存起來靜默一段時間再動手，而到時被盜刷的原因也很難判斷。 「如果信用卡被用此種方式盜刷，維權也很困難，因為銀行會認為是本人持卡在執行這些操作。 」李鐵軍表示。

有業內人士指出，從目前來看，最為保險的做法是「換卡」。 但是哪些使用者有換卡的必要呢?是否攜程所有使用者都必須換卡?「 從目前攜程和烏雲披露的資訊中並不能確定是否所有攜程使用者資訊都被洩露，但是只要被記錄過CVV的使用者就必須更換信用卡。 」李鐵軍表示。

攜程安全隱患可能並未根本解除

經銀行回饋，目前並沒有發生攜程使用者寫用卡被盜刷的情況。 但事情似乎並不這麼簡單。

據多家媒體報導，此前已有攜程使用者對於攜程支付安全提出質疑，攜程回應稱攜程採用的信用卡支付方式符合國際慣例，且公司內部有足夠的風險把控能力。 微博實名認證為廣西易搜科技有限公司CEO的嚴茂軍在微博上表示，「早在2月25日就致電過攜程我綁定攜程的幾張信用卡被盜刷十幾筆外幣的事件，當時他們回復系統安全正常。 」

羊城晚報援引安全人士表示，「但從目前情況看，攜程的支付系統的確存在很多不確定性，風險程度很高。 除了駭客盜取資訊，公司內部對使用者資訊管理情況也令人擔憂。 」

雖然不少攜程的使用者在看到消息之後，已經連夜向銀行申請取消信用卡。 但在奇虎360首席隱私官譚曉生看來，從已知資訊來說，仍不能準確斷定是否已經有大規模洩露發生，真正的情況只有當事企業自己清楚。