携程网安全问题由来已久

中国网财经中心2014-01-10报道：《携程被指储存信用卡敏感信息 存在泄露风险》

“有消费者称，携程网的人工客服会向用户直接索要信用卡有效期、CVV2码等敏感信息。中国网财经中心记者以电话购买机票为由，拨通了携程网客服电话，在支付环节，记者按语音要求输入信用卡卡号后，客服人员口头询问记者该信用卡的有效期及CVV2码，当记者提出上述敏感信息不方便透露时，客服人员表示“如不提供，就不能完成预定”，并强调携程网不会储存信用卡卡号信息。此外，记者在检索相关信息时发现，不少消费者遭遇过信用卡被盗刷的事件，金额从2万元至500万元不等。”

漏洞报告平台乌云网3月22日公告指出携程安全支付日志可下载，导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码等)，有可能被黑客所读取。昨日携程方面承认超范围存储用户信用卡信息。对此，携程方面称是公司在技术调试过程中出现短时漏洞。不过，业内专家则表示，并非低级技术错误这么简单。

汽车之家创始人李想的评论在微博上获得了高转发，“存储了用户信用卡的CVV，还泄漏了。前一个是企业的基本道德问题，后一个是安全问题。有些信息可以存，有些信息无论如何也不能存，携程存了无论如何也不该存的CVV，这相当于把你信用卡的密码存储并泄漏了。需要输入CVV和存储CVV是两个概念。这时候还帮着携程说话的，就是典型的被卖了还帮着数钱的。”他打了一个比喻，“交易网站存CVV相当于小时工偷偷配了你家的钥匙，同时，他还知道关于你家所有的信息。”

携程网技术能力遭质疑

对携程的解释，原Google技术总监胡宁认为，用户信用卡信息泄露并非犯低级技术错误这么简单，敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理，这都是常识。携程的技术能力和流程存在严重问题。

携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。 这里本地服务器是关键。证明了携程一定存了全卡信息，包括cvv2。

自媒体老友记的作者进一步解释说：技术人员不应该在未经客户允许的情况下开启调试功能。因为开启调试功能意味着可以看到一个客户支付的所有详细信息。另外，功能调试应该在封闭环境，而不是联网的状态进行。只要在联网状态，一切数据都可能是不安全的，携程居然在联网状态调用这么重要的数据，太不应该了。

携程解决问题的办法不彻底

首先是不诚恳，在故意带偏方向。携程关于“倘若发生安全漏洞并引起用户损失，携程将给予全额赔付。”的承诺只是一句漂亮的空话而已，在具体落实的层面是极难操作的。另外，关于携程回复说授权不成功可以保存七天，我确认：授权完成之后禁止存储CVV2，和成功失败无关。7天的这个说法，没有理论依据。携程存储的不是授权失败的信息，也不是只保留七天。携程之所以这么说，是在大事化小，推脱责任。

并且，从人工服务方面、暴露密码方面综合来看，是携程服务于客户的整个支付流程就有问题，不是简单关闭调试接口就能避免的。不彻底解决的话，还会有下一次的悲剧发生。所以用户在立即换卡的同时，在携程彻底解决自己问题之前，可选用别的服务商的机票、酒店订购服务。

自媒体作者潘乱敏锐地发现：从携程连续的几份声明里，携程自始至终都没有承诺未来不再保存CVV码。