攜程資訊洩露事件給信用卡網上無卡支付敲響警鐘

攜程昨天發表致歉聲明並承諾，未來倘若發生安全性漏洞並引起用戶損失，將給予全額賠付。業界頗具影響力的烏雲漏洞平臺前晚發佈消息稱，攜程系統存技術漏洞，可導致使用者個人資訊、銀行卡資訊等洩露。業內人士表示，這次資訊洩露事件給信用卡網上無卡支付敲響了警鐘。

　　（說起攜程這次曝出的漏洞，在雲安全聯盟上海區聯席主席沈勇看來，技術上十分低級，相當於讓一台伺服器在互聯網上裸奔。

　　【它有一台週邊伺服器上的配置不是做得很好，所以別人可以在這個伺服器上看見檔，本來是看不見的，看見的這些檔呢，他正好發現這些檔裡面包含有一些內容，這些內容不應該存在那個地方，這個就是說攜程錯存了一些它不合適存的資料。】

　　這些敏感性資料包括信用卡的CVV碼，也就是信用卡背面簽名欄最後3位元印在卡片上的號碼。信用卡網上無卡支付就需要驗證CVV碼。攜程在國內較早引入這種支付方式，用於預訂機票酒店等，對用戶極為便利。但招商銀行信用卡部總經理劉加隆表示，這種便利是以安全風險為代價的，他建議持卡人用信用卡網上支付時儘量選擇銀行標識，也就是在銀行端，而不是商戶本機伺服器上完成支付交易。

　　【對於客人來說，安全和便利是一對矛盾。無卡支付提供了一個便利，但是它可能客人有擔心。那在客人最大的一個分辨，就是那個轉接是不是跳轉回銀行的網頁，如果是跳轉回銀行的網頁，那所有的資訊都是在銀行端，核心的資料它沒有被送出去。】

　　不過在支付方面，攜程有其特殊性：用戶都是用信用卡實名制預訂機票和酒店，沒有哪個小偷會愚蠢到盜刷人家的信用卡支付自己相關服務的費用，自投羅網。而在購物網站用信用卡無卡支付另當別論。幾年前，上海銀監局曾對此做過專項調研，提示過潛在風險。

　來自攜程方面的消息顯示，技術部門獲知漏洞存在後連夜排查。攜程公關經理賀靜說：

　　【得到這個資訊之後，3月22號的晚上我們就立刻展開了技術排查，就在兩小時之內修復了這個漏洞。經過我們的排查發現，漏洞發現人他做了一個測試的下載，內容就是含有非常少量的加密卡號的資訊，一共涉及93名有潛在風險的攜程用戶。】

　　對於這93名疑似遭遇資訊洩露使用者，攜程方面做了應急處理。

　　【客服人員今天已經通知了相關的用戶，更換信用卡，銀行方面也會儘快地協助用戶辦理換卡的手續，所有換卡的費用由攜程來承擔。】

　　也就是說，如果攜程使用者還沒有接到電話通知，理論上不必擔心資訊遭洩露。）

　　【播】儘管目前攜程資訊洩露事件還沒有造成實質性的損失，但有銀行業內人士擔心，怕就怕漏洞出現在攜程，半年一年後再出現盜刷事件，持卡人不知道原委，板子打在銀行身上。

　　其實不管是攜程還是銀行，隱私安全部署應當放在企業“生命線”的高度來重視，只有這樣，才能安撫飽受刺激的消費者神經，才能重獲消費者的信任。另外，由於消息爆出正值週末，目前還無法評估事件對攜程股價影響。