攜程支付漏洞導致用戶信用卡資訊洩露 承諾損失全賠

　　北京商報訊（記者 程拓 賀陳慧）國內最大的線上旅行服務商攜程旅行網陷入“支付漏洞”風波。上週六晚間，攜程網被曝存在系統技術漏洞，可導致用戶身份證、銀行卡號、卡CVV碼（即卡號、有效期和服務約束代碼生成的3位或4位數字）、6位卡Bin碼（用於支付的6位數字）等信用卡資訊洩露。攜程網當晚23時許回應稱，此前已經對存在的問題進行了修復，並承諾全額賠償可能造成的用戶經濟損失。

　　北京商報記者從攜程網了解到，目前93名潛在風險用戶已被通知換卡，其餘用戶用卡安全暫未受影響。攜程網方面表示，事件發生後，公司同各大銀行均取得聯繫，經核實，目前沒有出現信用卡被盜刷的情況，倘若用戶因為該漏洞造成財産損失，攜程網將給予賠付。

　　曝出此次攜程技術漏洞的烏雲網人士同時提到，一直以來攜程網人工客服會向用戶直接索要信用卡有效期和CVV碼等敏感資訊，並在系統記憶體儲該資訊。據業內人士介紹，信用卡的CVV碼又被稱做“第二密碼”，控制著該卡的交易授權，只要提供正確的CVV碼，就能完成支付環節。

　　對此攜程網方面表示，按照相關銀行的支付規定，部分銀行用戶交易時，需提交CVV資訊，否則交易無法達成。業內人士也承認，相關規則確實存在，無論通過何種網站欲與此類銀行發生交易，都必須提交CVV資訊，目前國內大部分線上支付的網站操作方式與攜程網相同。攜程網表示，公司在取得用戶授權後，會保存非CVV資訊，而未扣款成功的CVV資訊會被暫存7天，目的是為了降低用戶費力度與協助用戶便捷支付。

　　若用戶未授權，所有相關資訊在交易成功後將立即刪除。未扣款成功的交易，將在7天內刪除CVV資訊。攜程網的做法，符合PCI-DSS（第三方支付行業數據安全標準）規定。如授權後的客戶想要取消授權，則可以在“我的攜程”頻道中，“常用資訊管理”的“常用信用卡”一欄中，刪除個人授權保存的銀行卡資訊。

　　在國內旅遊領域，酒店等資訊洩露並非首次。2013年10月，國內安全漏洞監測平臺“烏雲網”披露，自稱是中國最大的酒店數字客房服務商的浙江慧達驛站公司，因為安全漏洞問題，使與其有合作關係的大批酒店的開房記錄在網上洩露。數日後，一個名為“2000w開房數據”的文件出現在網上，其中包含2000萬條在酒店開房的個人資訊，容量達1.7G。開房數據中，開房時間介於2010年下半年至2013年上半年，包含姓名、性別、國籍、民族、身份證號、生日、地址、郵編、手機、固話、傳真、郵箱、公司、住宿時間。