国内网络安全问题反馈平台——乌云漏洞平台发布消息称，由于携程网系统存技术漏洞，用户个人信息、银行卡信息可能会遭泄露。业内分析人士称，携程并没有支付牌照，按规定不允许存储用户银行卡信息，此次事件暴露出相关企业内控机制方面的短板以及部分第三方支付机构风险管理存在隐患，建议有关部门尽快出台保护个人隐私的法律法规，同时对泄露客户信息的机构进行处罚，为在线支付把好“安全阀门”。

　　事件　交易网站违规存CVV码

　　携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包直接保存在本地服务器，有可能被黑客所读取。携程没有支付牌照，按照规定不允许存储用户银行卡信息，尤其是CVV码（又叫用户识别码，是银行卡进行非面对面交易时用于确认用户身份的识别码，作用类似于密码）。而上述调试接口，通常是携程需要和合作公司调试时才打开，数据包通常会有多种加密功能，即便被下载也很难破译。

　　据了解，携程合作的银行包括工商银行、中国银行、招商银行、浦发银行等十余家，第三方支付机构包括支付宝、财付通、银联在线等。

　　携程作为纳斯达克上市的在线第三方支付企业，必须遵守《第三方支付行业数据安全标准》，其中明确规定了如何实施数据保护，以及哪些信息可以保存、哪些信息不能保存，CVV码属于不允许存储的敏感数据。

　　“交易网站存CVV码，相当于小时工偷偷配了你家的钥匙，同时，他还知道关于你家所有的信息。”新浪认证微博、汽车之家创始人李想说，“需要输入CVV码和存储CVV码是两个概念。有些信息可以存，有些信息无论如何也不能存，携程存了无论如何也不该存的CVV码，这相当于把你信用卡的密码存储并泄露了。”

　　揭秘　旅游产品支付手段较“宽松”

　　乌云曝出的携程支付漏洞事件让不少人非常诧异：携程为什么要保存信用卡的CVV码？记者调查发现，这跟旅游产品预订的特性有关。

　　以机票和酒店为代表的旅游产品，价格随着库存、预订时间实时变化。网购一张机票的流程是，用户查询到一个航班以后，比如看到一张400元3折的机票，用户输入乘机人姓名和身份证点击下一步，然后完成支付，代理商在看到用户完成支付后会凭借这个完整的订单进行出票。但用户填写信息需要一定时间，对网购熟悉的用户完成支付最快会花30秒，慢的则需要1-2分钟，在这过程中，此前的3折票很可能已被航空公司取消或者变价，价格可能涨到了450元，这就出现了支付成功但不出票。

　　所以说并不是填写完个人信息，点击下一步票就预订成功。如果消费者预订时相关产品库存和价格数据与实时情况相匹配，则预订成功，相关款项也会支付出去。然而，当消费者的预订指令发出后，后台处理往往会出现各种情况，如库存没有了，或者价格涨了，这时候，预订平台就会反馈消费者是否做其他选择或继续预订。为了优化消费者的体验，对于在线旅游网站而言，将消费者的姓名、身份证、信用卡号、CVV码等储存起来，在这种情况下预订反应机制会更灵活，后台系统访问相关数据库回转机制的频率比买实体商品要高。

　　第三方支付也存储用户信息

　　从技术上看，旅游产品支付条件“更宽松”，预订旅游产品是不是比普通网购更不安全？一位资深技术人士告诉记者，事实上，包括第三方支付平台也会将消费者的相关数据储存起来。正规的网购平台储存数据后会进行加密，之后数据进入一个密封的管道中，只有和银行对账时，相关数据才会解密。

　　在预订成功后，数据是如何“保存”下来的呢？其实相关数据此时已在预订后台被删掉，进入到另一个加密的信息储存库（非VCC）中，以便用户日后预订时调出。“携程这次的数据泄露事件，不是信息储存库里的数据泄露了。而是因为携程技术人员将用于处理用户支付的服务接口开启了调试功能，也就是说对预订后台的部分数据解密（包括CVV）进行排查技术上的问题，本来这些数据应该下载到本地日志服务器中（安全性极强，外界无法访问），但这些数据却被放在Web服务器中，可以说是不应该发生的低级错误。”该资深技术人士说。

[1] [2] 下一页