烏雲網上的一條爆料驚得不少人一身冷汗

對此，攜程方面在接受記者採訪時表示，在發現問題之後，該公司已立即展開了技術排查，並在兩小時內修復了這個漏洞。 3月22日晚至3月23日，攜程已通知存在潛在風險的93名使用者更換信用卡。 經各銀行回饋，截至目前，沒有發生攜程使用者信用卡被盜刷的情況。

不過，不少攜程使用者仍然很擔心，換卡之聲此起彼伏，有使用者在接受採訪時表示，銀行方面也對這種情況表示了理解，並積極配合客戶換卡。

南方日報記者 鐘嘯

用卡者CVV碼等核心資訊或遭泄

攜程漏洞引使用者擔憂

攜程將用於處理使用者支付的服務介面開啟了調試功能，使所有向銀行驗證持卡擁有者介面傳輸的資料包均直接保存在本機伺服器。 同時因為保存支付日誌的伺服器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試資訊可被任意駭客讀取。

3月22日晚間，烏雲網上一位名為豬豬俠的「漏洞作者」爆出了攜程方面的猛料，而在講述了這些頗為晦澀的技術語言背後，對方直接給出了這一漏洞造成的後果。 在攜程進行過支付行為的客戶可能會將自己的一系列核心資訊洩露出去，其中就包括「持卡人姓名、持卡人身份證、所持銀行卡類別(比如， 招商銀行 信用卡、中國銀行信用卡)、所持銀行卡卡號、所持銀行卡CVV碼、所持銀行卡6位Bin( 用於驗證支付資訊的6位數位)」。 在電子支付十分普遍的今天，這些資訊毫無疑問都是用卡者的核心資訊。

不過，記者昨日採訪中也瞭解到，因為支付限額等因素的存在，盜用資訊者想要利用這些資訊牟取暴利仍不容易。 「很多銀行的信用卡進行網上支付都有支付限額，而且不少支付行為超過一些限額之後，都會驗證客戶手機上的動態驗證碼，所以從目前看來，即使有人盜取了資訊，也很難大規模地透支客戶個人的帳戶。 」一位銀行業內人士表示，不過使用者信用卡的CVV碼即銀行信用卡背後的三位驗證碼被洩露，這還是比較麻煩的，在某些協力廠商支付平臺上，可能直接驗證CVV碼就可進行消費，這也會給用卡人帶來損失。

不過，從目前看來，盜取資訊的人至多能輕鬆進行手機充值等小規模的消費行為，而過於頻繁的支付行為也會讓其遭到銀行方面的監控。

已通知93名潛在風險使用者換卡

攜程承諾承擔全部損失

攜程漏洞仍然令不少人心驚膽戰，對此，攜程方面在接受記者採訪時表示，已在問題發現的兩小時內修復了這個漏洞。

經查，攜程的技術開發人員之前是為了排查系統疑問，留下了臨時日誌，因疏忽未及時刪除，目前，這些資訊已被全部刪除。 經攜程排查，僅漏洞發現人做了測試下載，內容含有極少量加密卡號資訊，共涉及93名存在潛在風險的攜程使用者。

攜程方面表示，該公司客服已在昨日通知相關使用者更換信用卡，銀行方面也會儘快協助使用者辦理換卡手續。 截至3月23日22：00，沒有接到攜程客服換卡通知的使用者，個人資訊均是安全的，無需擔心。 而另一方面，攜程已通知存在潛在風險的93名使用者更換信用卡。 經各銀行回饋，截至目前，沒有發生攜程使用者信用卡被盜刷的情況。

攜程方面同時承諾，未來如有客戶因安全性漏洞引起使用者損失，攜程將承擔全部責任並給予賠付。 為了更好地保障使用者及網站的安全，攜程將廣邀資訊安全衛士，一起來加固系統資訊安全。

不少使用者網上呼籲換卡

專家建議密切關注帳單異動

然而，很多使用者對於攜程方面給出的回應仍不放心，一時之間，網上換卡的呼聲此起彼伏。 而一位換卡成功的被採訪人也表示銀行方面也對此十分配合。

「多嚇人啊，這種事兒誰說的清楚，我還是先換卡吧。 」記者的一位朋友就表示，自己是攜程的「重度使用者」，還是覺得有些擔心，乾脆換卡為上，而身邊的不少人也有同樣的想法。

「攜程洩密事件，一夜間蒸騰起來，有鼻子有眼。 上周第一次在攜程支付，不由得心虛啊！ 寧可信其有吧。 」記者的另一位朋友則表示，昨日已經試著聯繫了招行信用卡中心，「本想諮詢一下，結果，人家聽罷原委，當即回復可以立刻廢除舊卡，換號的新舊兩個工作日送達。 這是多快的反應啊！ 」由此可見，銀行方面也對此十分配合。

對此，網路安全專家也建議，如果廣大客戶不放心，也可隨時注意檢查信用卡帳單和消費短信，如果發現異常，就及時聯繫銀行和攜程方面，以減輕損失。 當用卡人已確定發現了信用卡交易出現異常，並懷疑自己的用卡資訊發生了洩露，那就要及時聯繫銀行，更換新卡。

專家：謹防利用攜程事件進行詐騙

相關報導

近日，漏洞報告平臺烏雲網公佈了一條網路安全性漏洞資訊，指出攜程安全支付日誌可下載，導致大量使用者銀行卡資訊洩露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)，並稱已將細節通知廠商並且等待廠商處理中。 此外，攜程還被爆某分站原始程式碼包可直接下載(涉及資料庫配置和支付介面資訊)。 對於這樣突發的資訊洩露事件，360手機安全專家朱翼鵬提醒使用者近日需多加注意信用卡資訊安全，同時需高度警惕假冒攜程或銀行信用卡中心名義實施詐騙的電話、短信，如果收到類似電話、短信，千萬不要輕信！

根據攜程的回應，可能受到該漏洞影響的為3月21日與3月22日的部分交易客戶，並表示如果有使用者因為該漏洞造成財產損失，攜程將賠償損失。 由於該事件直接涉及財產問題，引發了不少市民的恐慌。 而一些詐騙者正是利用市民的恐慌心態，借機實施電信詐騙，偽造類似短信或者客服電話：「攜程被爆出現安全性漏洞，可導致您銀行卡資訊洩露，請及時登錄以下網址：HTTP://×××修改銀行卡密碼，以保證銀行卡內資金安全。 請聯繫：400*****」

360手機安全專家介紹，短信中的連結可偽造成釣魚網址，騙取使用者輸入信用卡號、密碼等個人私密資訊，導致銀行卡關鍵資訊洩露，最終造成銀行卡內資金被盜。

專家提醒，由於攜程漏洞事件直接涉及使用者銀行帳戶安全，因而使用者關注度高，一旦接收到提醒修改銀行卡密碼的短信或電話，切勿輕信，不要輕易訪問短信內網址。 回撥短信內電話時，也要與信用卡卡片上的客服電話核對確保無誤；同時可使用360手機衛士攔截這類詐騙短信，如果確認為詐騙短信，也請及時將其舉報。