3月22日晚，漏洞报告平台乌云网在其官网上公布了一条网络安全漏洞信息，指出携程网安全支付日志可被遍历下载，导致大量用户银行卡信息泄露。虽然两小时后，携程回应称已修复这个漏洞，但是还是引起了广大用户的担忧。有网友因此引用携程网的宣传口号调侃这一安全漏洞：“携程在手，说走就走……但走得最快的是密码。”

乌云：银行卡信息或被黑客读取

　　据乌云平台称，携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。乌云方面的报告称，漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码，上述信息有可能被黑客所读取。

　　据了解，乌云是一个位于厂商和安全研究者之间的安全问题反馈平台，此前多次发布国内企业信息系统的技术漏洞，推动企业进行漏洞修复。[详细]

　　携程：93名携程用户须换信用卡

　　据介绍，3月22日晚至3月23日，携程已通知存在潜在风险的93名用户更换信用卡。经各银行反馈，截至目前，没有发生携程用户信用卡被盗刷的情况。携程同时承诺，未来如果因安全漏洞引起用户损失，携程将承担全部责任并给予赔付。

　　不过，对于为何保存用户信用卡CVV码等信息，携程方面没有回应。记者注意到，有不少携程用户担忧自己信用卡被泄密，并表示要去换卡或注销卡。一法律界人士指出，此次漏洞事件中曝出携程保存用户银行卡信息，这个做法欠妥，违反银联的规定。[详细]

揭秘：旅游产品支付手段较“宽松”

　　以机票和酒店为代表的旅游产品，价格随着库存、预订时间实时变化。网购一张机票的流程是，用户查询到一个航班以后，比如看到一张400元3折的机票，用户输入乘机人姓名和身份证点击下一步，然后完成支付，代理商在看到用户完成支付后会凭借这个完整的订单进行出票。但用户填写信息需要一定时间，对网购熟悉的用户完成支付最快会花30秒，慢的则需要1-2分钟，在这过程中，此前的3折票很可能已被航空公司取消或者变价，价格可能涨到了450元，这就出现了支付成功但不出票。

　　提醒：不要在不信任网站填写核心信息

　　“在线填写的个人信息并不是都加密的，像姓名、身份证号就是明文，银行卡号、CVV码就会强加密。”龚蔚说，“之所以一部分个人信息不加密，是出于资源使用效率和用户体验的考虑，加密要消耗系统资源，并且还需要解密、还原的过程，这样使用起来程序繁多、速度很慢。”

　　龚蔚建议，企业一定要有安全意识，不能忽略小漏洞。而作为消费者，在选择购买支付网站、填写个人信息时一定要谨慎。“当提交含有身份证号、银行卡号、密码等核心个人信息时，一定不要提交给不信任的网站。一般来说，知名的大网站技术相对成熟，不会出现黑客在网站中直接加入代码，获取用户信息的现象。而诸如小的代购网站，安全性就降低很多。”[详细]

　　事件发生后，携程在微博上说“向用户诚恳道歉”，并称漏洞已修复，承诺愿意为未来因安全漏洞引起的用户损失承担赔付责任。 但在这份“申明”中，对泄密事件的一些细节却含糊其辞，没有直面的勇气。

　　关于网站在用户支付过程中该如何保护用户信息，国内外相关标准不止一个，国际上比较权威的是PCI-DSS（第三方支付行业数据安全标准），加入此标准认证的企业都要接受严苛的年度安全评估，每个季度都在接受PCI认证要求的ASV弱点扫描。

　　携程是行业巨头，又是上市公司，居然也在安全问题上犯这样的低级错误，只能说没有把用户的利益放在第一位，同时也反映出当前中国互联网界整体安全意识淡薄的现状。存储用户支付信息、明文保存用户密码……网站进行这些不规范操作的时候未必心存恶念，很多只是为了提供更简洁的流程，以表面上更好的体验留住用户，以便在竞争中取得领先地位，但实质上却是以牺牲用户网络安全为代价。[详细]

［业内］CVV被泄露系违规操作

　　所谓CVV，即 Card Verifi-cation Value，是由卡号、有效期和服务约束代码生成3位或4位数字，一般写在卡片磁条2磁道用户自定义数据区里面。无需密码支付的方式也叫信用卡“离线交易”，仅凭卡号、CVV码等信息即可完成支付。通俗理解就是，携程将银行卡数据包保存在本地，同时支付日志存在安全漏洞，数据信息可以被陌生人下载。

　　“交易网站存CVV相当于小时工偷偷配了你家的钥匙，同时，他还知道关于你家所有的信息。而携程存储了用户信用卡的CVV，还泄漏了，前一个是企业的基本道德问题，后一个是安全问题。”某业内人士表示，“有些信息可以存，有些信息无论如何也不能存，携程存了无论如何也不该存的CVV，这相当于把你信用卡的密码存储并泄漏了。需要输入CVV和存储CVV是两个概念。这时候还帮着携程说话的，就是典型的被卖了还帮着数钱的。”

　　[背后风险]支付系统存漏洞 内部管理令人担忧

　　有银行人士告诉记者，事实上银行很难完全杜绝信用卡信息泄露，“我们有一个部门专门负责监控，但没有办法完全杜绝，因为银行自己也需要这方面的信息才能完成网上交易，不能排除被黑客截获破解的可能。”“此次携程所泄露的银行卡信息已足以用于信用卡复制、克隆，风险等级很高，安全起见注销原卡更换新卡是最佳选择，若不想更换信用卡，市民今后需留心信用卡账单是否存在可疑消费记录，以及留意信用卡消费确认短信。”

　　某商业银行信用卡中心工作人员建议，“近期在携程使用过信用卡的持卡人，应该尽快与发卡银行取得联系，根据银行建议采取进一步措施。”“从目前情况看，携程的支付系统的确存在很多不确定性，风险程度很高。除了黑客盗取信息，公司内部对用户信息管理情况也令人担忧。”一位安全领域技术专家表示，“虽然不少携程用户看到消息之后，已经连夜向银行申请取消信用卡。但从已知信息来说，仍不能准确断定是否已经有大规模泄露发生。随着移动互联网的到来，未来移动端安全问题更为突出。”[详细]

　　携程网在两小时内已经修复安全漏洞，期间既没有出现信息泄露的情况，也没有出现用户信用卡被盗刷的情况，并已安排存在风险的93名用户更换信用卡，且承诺未来如果发生因安全漏洞引起用户损失，携程网将承担全部责任并给予赔付。 但相比较漏洞修复，更需深究的是漏洞何以产生。

　　携程网暴露出的安全漏洞并非孤例。去年12月，中国互联网络信息中心发布的《2013年中国网民信息安全状况研究报告》显示，我国网络信息安全环境整体上不容乐观，有74.1%的网民在此前半年遇到过安全问题，影响总人数达到了4.38亿。层出不穷的网络信息安全事件，不仅直接影响广大网民的上网体验，而且关系到互联网行业的健康发展。

　　网络信息安全，除了把安全漏洞堵上之外，更重要的是厘清安全责任。互联网时代没有绝对的安全，永远都是便捷与风险并存。这是一场网络安全攻防战，我们能做的就是为网络信息安全装上防盗门，把安全漏洞和隐患尽可能地排除掉。[详细]

　　携程网的安全漏洞，虽然在两小时之内便已修复，不过是否造成损失还有待观察。从技术上讲，正如相关人员所说，携程的漏洞永远是补不完的，安全架构有问题。可以说，相关网站的安全防范措施和意识不足，远比信息泄露本身更可怕。

　　据不完全统计，除了承担信息安全监管工作的工信部，公安部、卫生部、食品药品监督管理局、银监会、证监会等部门都有规章文件涉及个人信息保护。携程网的信息泄露事件，再度让公众对个人信息安全产生忧虑，如何为个人信息撑起“安全伞”，亟待制度解答。