“我已把信用卡掛失了，銀行服務(wù)人員知道此事件嚴(yán)重性，當(dāng)我致電詢問(wèn)時(shí)，立刻勸我掛失換卡號(hào)。你們誰(shuí)在攜程刷過(guò)卡的也抓緊換吧。”熱播劇《金太狼的幸福生活》編劇娟子昨日的這段話，足以反映攜程用戶們有多恐慌。

　　前日晚間，國(guó)內(nèi)漏洞研究機(jī)構(gòu)烏雲(yún)平臺(tái)曝光稱，攜程系統(tǒng)開(kāi)啟了用戶支付服務(wù)介面的調(diào)試功能，包括信用卡用戶的身份證、卡號(hào)、CVV碼等資訊可能被任意駭客竊取。此報(bào)告一齣，一石激起千層浪。很多攜程用戶趕緊到銀行解除綁定信用卡。攜程昨天最新回應(yīng)稱，烏雲(yún)所曝資訊係此前技術(shù)人員未刪的臨時(shí)日誌，已在兩小時(shí)內(nèi)修復(fù)，並已通知93名潛在風(fēng)險(xiǎn)用戶更換信用卡並適當(dāng)補(bǔ)償，尚未發(fā)現(xiàn)攜程用戶信用卡被盜刷情況。

　　用戶：用攜程信用卡泄密？

　　“一大早剛開(kāi)機(jī)，就收到我爸媽和朋友十幾條短信，全是問(wèn)我綁定攜程的信用卡有沒(méi)有被盜刷。”昨天上午，在一家英語(yǔ)培訓(xùn)機(jī)構(gòu)做講師的李瑞來(lái)到招商銀行崇文門網(wǎng)點(diǎn)更換信用卡。他記得，第一次用信用卡在攜程網(wǎng)買機(jī)票時(shí)，需提供信用卡卡種、卡號(hào)、有效期、CVV碼等完整資訊，此後再買的話，只需提供卡號(hào)後四位及CVV碼就能支付了，“當(dāng)時(shí)我光想著便捷，但沒(méi)想過(guò)攜程會(huì)儲(chǔ)存我的資訊，一旦洩露，我可就悲劇了”。

　　讓李瑞緊張的是烏雲(yún)平臺(tái)的最新報(bào)告。前日晚間，烏雲(yún)通報(bào)稱，攜程將用於處理用戶支付的服務(wù)介面開(kāi)啟了調(diào)試功能，信用卡用戶的身份證、卡號(hào)、CVV碼等資訊有可能被任意駭客讀取。

　　攜程是目前國(guó)內(nèi)最大的線上旅遊預(yù)訂機(jī)構(gòu)，這一漏洞消息立即炸開(kāi)了鍋。知名編劇六六也在個(gè)人微博上表示：“攜程應(yīng)出詳細(xì)情況説明，哪些用戶受到影響須換卡，還是全部用戶，範(fàn)圍有多大。以及風(fēng)險(xiǎn)發(fā)生的原因及應(yīng)對(duì)措施，未來(lái)還會(huì)發(fā)生嗎？這些問(wèn)題不解答，用戶會(huì)緊張。”

　　攜程：讓潛在風(fēng)險(xiǎn)用戶換卡

　　風(fēng)口浪尖的攜程選擇了積極回應(yīng)。烏雲(yún)曝出漏洞後，攜程很快回復(fù)稱，經(jīng)技術(shù)排查在兩個(gè)小時(shí)內(nèi)修復(fù)了漏洞。可能受影響的是3月21日和22日的部分交易客戶，將會(huì)持續(xù)更新調(diào)查情況。

　　昨天下午，攜程公佈的最新回應(yīng)表示，經(jīng)查，這一泄密資訊是攜程的技術(shù)人員此前為了排查系統(tǒng)疑問(wèn)，留下了臨時(shí)日誌，因疏忽未及時(shí)刪除，目前，這些資訊被全部刪除。

　　那麼，這些資訊有沒(méi)有被駭客竊取？攜程稱，僅漏洞發(fā)現(xiàn)人做了少量的測(cè)試下載，內(nèi)容含有極少量加密卡號(hào)資訊，共涉及93名存在潛在風(fēng)險(xiǎn)的攜程用戶，攜程昨天已通知他們更換信用卡，並補(bǔ)償每人500元禮品卡。“截至23日22時(shí)，沒(méi)接到攜程客服換卡通知的用戶，個(gè)人資訊均是安全的，無(wú)需擔(dān)心。”

　　攜程還通報(bào)稱，已和各銀行核實(shí)確認(rèn)，並沒(méi)出現(xiàn)用戶信用卡被盜刷的情況。“攜程對(duì)所有用戶資訊安全全權(quán)負(fù)責(zé)，如因此産生任何風(fēng)險(xiǎn)及損失，攜程將全額賠付承擔(dān)。”攜程方面稱，攜程還設(shè)立了總額500萬(wàn)元的資訊安全獎(jiǎng)勵(lì)基金，獎(jiǎng)勵(lì)為攜程找出漏洞的資訊安全衛(wèi)士。

　　“攜程的官方回復(fù)不準(zhǔn)確。”廣西易搜科技有限公司CEO嚴(yán)茂軍對(duì)記者説。他是攜程的鑽石級(jí)會(huì)員，綁定了三張信用卡。2月25日，其中兩張雙幣種信用卡在卡不離身的情況下被盜刷十幾筆。攜程客服當(dāng)時(shí)明確説系統(tǒng)絕對(duì)安全。“被盜刷了約一萬(wàn)多元人民幣。因是白金卡用戶，銀行給我72小時(shí)盜刷賠償，我自己沒(méi)損失。攜程的安全漏洞也許早就存在了。”不過(guò)，記者暫時(shí)無(wú)法證實(shí)嚴(yán)茂軍説法的真實(shí)性。

　　疑問(wèn)：為何保存用戶CVV碼？

　　攜程的回應(yīng)並沒(méi)法平息用戶們的質(zhì)疑。很多用戶在攜程官方微博下面發(fā)問(wèn)，為什麼要存貯用戶的CVV等資訊？

　　什麼是CVV碼？業(yè)內(nèi)人士介紹，信用卡資訊主要包含卡號(hào)、有效期、CVV碼等，其中列印在卡片簽名區(qū)的3位CVV碼又被稱作“第二密碼”，掌握著該卡的交易授權(quán)，即只要提供正確的CVV碼，就能完成支付環(huán)節(jié)。

　　中國(guó)銀聯(lián)風(fēng)險(xiǎn)管理委員會(huì)《銀聯(lián)卡收單機(jī)構(gòu)賬戶資訊安全管理標(biāo)準(zhǔn)》要求：“各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用於交易清分、差錯(cuò)處理所必需的最基本的賬戶資訊，不得存儲(chǔ)銀行卡磁軌資訊、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期。”

　　“交易網(wǎng)站存CVV相當(dāng)於小時(shí)工偷偷配了你家的鑰匙，同時(shí)，小時(shí)工還知道了關(guān)於你家所有的資訊。”汽車之家創(chuàng)始人李想第一時(shí)間在新浪微博上表示，攜程存了無(wú)論如何也不該存的CVV碼，這相當(dāng)於把用戶信用卡的密碼存儲(chǔ)並泄漏了。這屬於企業(yè)的基本道德問(wèn)題。

　　昨天下午，攜程方面回復(fù)稱，按相關(guān)銀行的支付規(guī)定，攜程的部分銀行用戶交易時(shí)需提交CVV資訊。用戶線上上線下信用卡下單時(shí)，系統(tǒng)會(huì)詢問(wèn)是否保留相關(guān)資訊，用戶同意授權(quán)的話，攜程會(huì)保存非CVV資訊。未扣款成功的CVV資訊會(huì)暫存7天，目的是降低用戶費(fèi)力度和協(xié)助用戶便捷支付。如果用戶不同意授權(quán)，所有相關(guān)資訊將在交易成功後立即刪除。如果是未扣款成功的交易，將在7天內(nèi)刪除CVV資訊。“攜程的做法，符合PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))規(guī)定，攜程一直按照國(guó)際信用卡支付安全標(biāo)準(zhǔn)要求加密保存信用卡資訊。”

　　專家建議

　　用戶也可開(kāi)通短信提醒

　　中國(guó)旅遊研究院行業(yè)分析師楊彥鋒對(duì)記者説，目前未發(fā)現(xiàn)盜刷案例，表示該漏洞利用的情況不大。但攜程的錯(cuò)在於不該存儲(chǔ)CVV碼。攜程在付款過(guò)程中需要記錄並轉(zhuǎn)發(fā)給銀行介面用戶資訊，但是記錄日誌，破壞了安全性。他建議，如果是近期使用過(guò)信用卡支付、卡額度或餘額高的攜程網(wǎng)用戶，建議換卡，也可開(kāi)通消費(fèi)短信提示服務(wù)，這樣及時(shí)了解信用卡的消費(fèi)資訊。“這一事件，會(huì)造成客戶對(duì)攜程的信賴感下降，尤其是對(duì)高端商旅客戶的信賴感有影響。”記者 陳博