携程被曝存安全漏洞 客户信用卡信息或遭泄露

 本网讯  据中国之声《新闻晚高峰》报道，昨晚，一则关于携程旅行网支付日志存在漏洞，用户银行卡信息会被黑客任意读取的信息在互联网上广泛传播。乌云漏洞平台连续发布两条漏洞报告，称携程安全支付日志可遍历下载，这一漏洞导致大量用户银行卡信息泄露。对于这一漏洞，携程方面如何回应？面对越来越普遍，越来越多样的网上支付手段，用户的信息安全又该如何保证？

　　主动披露携程存在漏洞的是乌云漏洞平台，这个位于厂商和安全研究者之间的安全问题反馈平台，在22号公布的信息显示，“由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取”。360首席隐私官谭晓生这样分析，携程在调试过程中出现的漏洞。

　　谭晓生：他这次犯得错误，就是他调试的时候把这个东西存下来了，存这一步本身潜在来说就是存在问题的，像cvv码之类的这种东西属于特别敏感的信息，尽可能不要存它，哪怕是调试过程中都尽可能不要存它。第二个是他存的东西放到了一个别人从网站的外部能够访问的。

　　乌云漏洞平台公布的信息也得到了携程方面的确认。今天早上，携程发布声明表示：这是携程旅行网在技术调试过程中出现的短时漏洞。

　　携程网：昨天也反馈了，主要这个漏洞发生是在3月21号期间到3月22号，可能部分交易的客户，有相应的一个问题可能发生，当然我们目前也没有排查到有黑客入侵的这样一个情况，就是可能盗取这样的信息。

　　携程方面表示，他们已经在消息发布的两个小时内修复了问题，“尚未发现因相关问题导致客户信息泄露以及造成损失的情况发生”。

　　携程网：携程这边最大的保证就是，如果后续安全漏洞造成财产损失，我们将会进行全额赔付，对无法去核实的一个问题，我们后台可以去进行核查的。

　　作为综合性的旅行服务公司，携程网主要提供包括无线应用、酒店预订、机票预订、旅游度假、商旅管理及旅游资讯在内的旅行项目，有超过1.4亿的会员用户。这次被曝出支付漏洞，尤其是记录了包括信用卡cvv码在内的隐私信息，引发了不少人对于网上支付安全的担忧。

　　银行卡的cvv码被认为是无卡购物的最后一道防线，信息一旦遭到窃取，足以被用于信用卡盗刷。

　　360首席隐私官谭晓生：他作为一个卡的验证手段，他可以让用户输入，输入完了之后，他应该会找相应的卡中心去进行验证，就是在整个交易过程中，这个数据是不应该做持久化存储的，就不应该存下来，他可以用，但是不能存。

　　不少携程的用户在看到消息之后，选择连夜向银行申请取消信用卡。招商银行信用卡中心的一位工作人员介绍：

　　工作人员：很多客服都遇到这个问题了，所以说就是突发事件，可能也会对我们的制作卡片以及邮寄卡片带来很大的压力的，一般一个星期之后可以收到，但是这个事情太突然了，很多客户可能都会涉及到换卡，就会在邮寄方面都会有时效的影响。

　　携程的工作人员表示，对于这次的漏洞事件，携程方面还在排查，查清楚之后会给公众一个最终的答复。

　　工作人员：这个的话因为最终我们也会对这个事情给所有的公众最后的一个答复，目前我们相应的部门也正在排查相应系统的一个问题，到底是什么导致这样一个情况。我们最终还有一个官方回复，并不是说我们这件事情就这样结束了。