携程支付日志泄露 记录支付数据行为遭质疑

网易科技讯 3月23日消息，昨日携程网被曝出现安全漏洞，用户身份证号、银行卡号、CVV码等信息或遭泄露，银行工作人员称建议用户办理挂失或冻结。

这一事件招致巨大的用户信任危机，携程旅行网官方微博遭受大量用户指责。

用户支付信息泄露 携程称将赔偿损失

根据乌云漏洞平台的描述，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

安全日志包含的信息包括：持卡人姓名、持卡人身份证、所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。

对此携程官方在乌云漏洞平台确认了这一漏洞信息，称已经在漏洞发布两小时内修复该问题。

根据携程的回应，可能受到该漏洞影响的为3月21日与3月22日的部分交易客户，并表示如果有用户因为该漏洞造成财产损失，携程将赔偿损失。

银行建议：柜台挂失或冻结

昨日20:43，网易率先曝出了该消息，随后有用户开始拨打银行客服电话申请挂失，截至晚间22:00左右，银行客服电话已经被打爆。

据了解，用户在携程绑定信用卡后，初次使用需要提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息，但第二次在携程网使用同一张信用卡时，只需提供卡号后四位及CVV2码就可以完成支付操作。

网易科技随即咨询了一名银行业人士，该人士表示，银行也有自己的安全评估体系和风险预警机制，即便用户信息泄露也并不意味着财产一定会受到损失，不过还是建议用户去银行柜台办理信用卡挂失换卡或冻结。

用户也可以通过电话进行冻结或挂失，不过部分银行的电话挂失属于临时挂失，最稳妥的方式是电话挂失后去柜台办理。

携程记录支付数据行为遭质疑

有用户指出，携程记录用户支付信息的行为违反了银联2008年发布的《银联卡收单机构账户信息安全管理标准》，根据该标准的2.1条，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码（PIN）及卡片有效期，根据标准8.1条，各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。

对这一行为，此前携程在接受媒体采访时的回答是携程网采用的信用卡支付方式符合国际惯例。

安全宝副总裁吴翰清表示，不排除有其他黑客在乌云曝出该漏洞前已经通过该漏洞获取安全日志，由于日志采用的是明文记录，黑客无需破解就可以拿到支付数据。

根据乌云平台的描述，此次漏洞出现的原因是携程将用于处理用户支付的服务接口开启了调试功能，也就是说属于操作不当，而非因黑客攻击导致，这也是招致用户不满的原因。

目前关于漏洞被曝光之前持续的时间、日志是否被其他人下载，是否有用户被盗刷信用卡等问题，携程仍无法给出有说服力的答案。

网易科技将继续关注这一事件。（顾晓波）