針對(duì)漏洞報(bào)告平臺(tái)烏雲(yún)日前指出攜程資訊安全漏洞問題，攜程方面23日回應(yīng)稱，攜程旅行網(wǎng)在技術(shù)調(diào)試過程中出現(xiàn)了短時(shí)漏洞，公司已在兩小時(shí)內(nèi)修復(fù)了這個(gè)漏洞，攜程用戶資訊未受影響。不過，來自銀行客服的資訊顯示，受上述事件影響，已開始有消費(fèi)者陸續(xù)向銀行要求換卡。有IT安全人士進(jìn)一步指出，攜程存在違規(guī)獲取信用卡用戶資訊之嫌。

　　近日，烏雲(yún)平臺(tái)連續(xù)披露了兩個(gè)攜程網(wǎng)安全漏洞，漏洞發(fā)現(xiàn)者稱由於攜程開啟了用戶支付服務(wù)藉口的調(diào)試功能，導(dǎo)致攜程安全支付日誌可被任意駭客讀取。安全日誌包含的資訊包括：持卡人姓名、持卡人身份證、所持銀行卡類別(比如，招商銀行信用卡、中國銀行信用卡)、所持銀行卡卡號(hào)、所持銀行卡C V V碼以及所持銀行卡6位BIN (用於支付的6位數(shù)字)。

　　消息一齣，攜程方面隨即展開技術(shù)排查。據(jù)攜程排查，可能受影響的為3月21日與3月22日的部分交易客戶，除了漏洞發(fā)現(xiàn)人做了少量的測(cè)試下載並已全部刪除外，沒有出現(xiàn)惡意下載有關(guān)數(shù)據(jù)的情況，用戶在攜程的交易仍舊是安全的，用戶的資訊安全沒有受到影響。

　　事件發(fā)生後，攜程同各大銀行均取得聯(lián)繫，經(jīng)核實(shí)，目前也沒有出現(xiàn)用戶信用卡被盜刷的情況。攜程表示，未來倘若發(fā)生安全漏洞並引起用戶損失，攜程將給予全額賠付，而對(duì)於此次漏洞事件如果有新的進(jìn)展也將持續(xù)通報(bào)。

　　記者了解到，受這一事件影響，已開始有消費(fèi)者陸續(xù)向銀行要求換卡。“據(jù)説這兩天銀行客服電話快被打爆了，周圍朋友不放心，都在要求換卡。”上海的竇女士告訴記者。記者從多家銀行客服方面了解到，已經(jīng)有不少客戶向銀行反饋此情況，而銀行方面也建議客戶更換卡片。

　　“此次事件涉及持卡人資訊安全問題，作為卡組織，銀聯(lián)對(duì)持卡人權(quán)益保護(hù)一直高度關(guān)注。我們第一時(shí)間與攜程取得聯(lián)繫，正在了解事件的相關(guān)情況。”中國銀聯(lián)資深風(fēng)險(xiǎn)專家王宇表示，“根據(jù)目前了解到的情況，攜程方面對(duì)此次事件原因的解釋是，攜程的技術(shù)開發(fā)人員為了排查系統(tǒng)疑問，留下了臨時(shí)日誌文件，因疏忽未及時(shí)刪除，目前，這些資訊已被全部刪除。”

　　王宇稱，希望攜程嚴(yán)格按照與相關(guān)合作機(jī)構(gòu)的協(xié)議約定，對(duì)本次資訊洩露的狀況真實(shí)、完整地反映給發(fā)卡機(jī)構(gòu)，及時(shí)通報(bào)事件處置進(jìn)展；請(qǐng)發(fā)卡機(jī)構(gòu)儘快將相關(guān)資訊反饋持卡人，保護(hù)持卡人資訊和資金安全。同時(shí)銀聯(lián)也在聯(lián)合攜程和各商業(yè)銀行共同研究進(jìn)一步解決措施。銀聯(lián)建議，近期在攜程使用過信用卡的持卡人，儘快與發(fā)卡銀行取得聯(lián)繫，根據(jù)發(fā)卡銀行給出的建議處理。

　　值得注意的是，該事件進(jìn)一步引發(fā)市場(chǎng)人士對(duì)於攜程違規(guī)獲取用戶資訊的擔(dān)憂。

　　有市場(chǎng)人士指出，攜程記錄用戶支付資訊的行為違反了銀聯(lián)2008年發(fā)佈的《銀聯(lián)卡收單機(jī)構(gòu)賬戶資訊安全管理標(biāo)準(zhǔn)》。根據(jù)該標(biāo)準(zhǔn)的2.1條，各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用於交易清分、差錯(cuò)處理所必需的最基本的賬戶資訊，不得存儲(chǔ)銀行卡磁軌資訊、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN )及卡片有效期。根據(jù)標(biāo)準(zhǔn)8 .1條，各類受理終端均不得存儲(chǔ)銀行卡磁軌資訊、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼、卡片有效期等敏感賬戶資訊。

　　“攜程這次的問題是，不加密儲(chǔ)存敏感資訊，且在日誌中保存了過多的不必要的資訊。”一位支付行業(yè)人士向《經(jīng)濟(jì)參考報(bào)》記者表示“技術(shù)層面的缺陷有時(shí)候是不可抗的，但是涉及到違規(guī)存儲(chǔ)用戶資訊這一規(guī)則上的漏洞，就事關(guān)道德風(fēng)險(xiǎn)，這是企業(yè)自身應(yīng)該堅(jiān)守的底線。”

　　據(jù)知情人士透露，攜程此次用戶資訊洩露事件，可能是無線研發(fā)推進(jìn)過快而變相導(dǎo)致的。該人士稱，攜程的安全漏洞，不是在W eb網(wǎng)頁上的漏洞導(dǎo)致，而是無線部門在手機(jī)A PP産品調(diào) 試 過 程 中 ，保 存 了 日 志 並 在Web .config開了目錄遍歷才出的狀況。一位企業(yè)負(fù)責(zé)IT安全的人士告訴記者，利用目錄遍歷攻擊漏洞，攻擊者能夠超過伺服器的根目錄，從而訪問到文件系統(tǒng)的其他部分，訪問受限制文件或資源，或者採取更危險(xiǎn)的行為。

　　對(duì)於上述情況，攜程此前在接受媒體採訪時(shí)表示，攜程網(wǎng)採用的信用卡支付方式符合國際慣例。銀行授權(quán)可做此支付交易的商戶都是需要通過信用卡中心認(rèn)證，均屬於資質(zhì)非常高的商戶，安全性有保障，攜程也是銀行最早授權(quán)可以做此交易的商戶之一。