針對漏洞報告平臺烏云日前指出攜程信息安全漏洞問(wèn)題，攜程方面23日回應稱(chēng)，攜程旅行網(wǎng)在技術(shù)調試過(guò)程中出現了短時(shí)漏洞，公司已在兩小時(shí)內修復了這個(gè)漏洞，攜程用戶(hù)信息未受影響。不過(guò)，來(lái)自銀行客服的信息顯示，受上述事件影響，已開(kāi)始有消費者陸續向銀行要求換卡。有IT安全人士進(jìn)一步指出，攜程存在違規獲取信用卡用戶(hù)信息之嫌。
　　近日，烏云平臺連續披露了兩個(gè)攜程網(wǎng)安全漏洞，漏洞發(fā)現者稱(chēng)由于攜程開(kāi)啟了用戶(hù)支付服務(wù)借口的調試功能，導致攜程安全支付日志可被任意駭客讀取。安全日志包含的信息包括：持卡人姓名、持卡人身份證、所持銀行卡類(lèi)別(比如，招商銀行信用卡、中國銀行信用卡)、所持銀行卡卡號、所持銀行卡CVV碼以及所持銀行卡6位BIN(用于支付的6位數字)。
　　消息一出，攜程方面隨即展開(kāi)技術(shù)排查。據攜程排查，可能受影響的為3月21日與3月22日的部分交易客戶(hù)，除了漏洞發(fā)現人做了少量的測試下載并已全部刪除外，沒(méi)有出現惡意下載有關(guān)數據的情況，用戶(hù)在攜程的交易仍舊是安全的，用戶(hù)的信息安全沒(méi)有受到影響。
　　事件發(fā)生后，攜程同各大銀行均取得聯(lián)系，經(jīng)核實(shí)，目前也沒(méi)有出現用戶(hù)信用卡被盜刷的情況。攜程表示，未來(lái)倘若發(fā)生安全漏洞并引起用戶(hù)損失，攜程將給予全額賠付，而對于此次漏洞事件如果有新的進(jìn)展也將持續通報。
　　記者了解到，受這一事件影響，已開(kāi)始有消費者陸續向銀行要求換卡�！皳�說(shuō)這兩天銀行客服電話(huà)快被打爆了，周?chē)�朋友不放心，都在要求換卡�！鄙虾５母]女士告訴記者。記者從多家銀行客服方面了解到，已經(jīng)有不少客戶(hù)向銀行反饋此情況，而銀行方面也建議客戶(hù)更換卡片。
　　“此次事件涉及持卡人信息安全問(wèn)題，作為卡組織，銀聯(lián)對持卡人權益保護一直高度關(guān)注。我們第一時(shí)間與攜程取得聯(lián)系，正在了解事件的相關(guān)情況�！敝袊�銀聯(lián)資深風(fēng)險專(zhuān)家王宇表示，“根據目前了解到的情況，攜程方面對此次事件原因的解釋是，攜程的技術(shù)開(kāi)發(fā)人員為了排查系統疑問(wèn)，留下了臨時(shí)日志文件，因疏忽未及時(shí)刪除，目前，這些信息已被全部刪除�！�
　　王宇稱(chēng)，希望攜程嚴格按照與相關(guān)合作機構的協(xié)議約定，對本次信息泄露的狀況真實(shí)、完整地反映給發(fā)卡機構，及時(shí)通報事件處置進(jìn)展；請發(fā)卡機構盡快將相關(guān)信息反饋持卡人，保護持卡人信息和資金安全。同時(shí)銀聯(lián)也在聯(lián)合攜程和各商業(yè)銀行共同研究進(jìn)一步解決措施。銀聯(lián)建議，近期在攜程使用過(guò)信用卡的持卡人，盡快與發(fā)卡銀行取得聯(lián)系，根據發(fā)卡銀行給出的建議處理。
　　值得注意的是，該事件進(jìn)一步引發(fā)市場(chǎng)人士對于攜程違規獲取用戶(hù)信息的擔憂(yōu)。
　　有市場(chǎng)人士指出，攜程記錄用戶(hù)支付信息的行為違反了銀聯(lián)2008年發(fā)布的《銀聯(lián)卡收單機構賬戶(hù)信息安全管理標準》。根據該標準的2.1條，各收單機構系統只能存儲用于交易清分、差錯處理所必需的最基本的賬戶(hù)信息，不得存儲銀行卡磁道信息、卡片驗證碼、個(gè)人標識代碼(PIN)及卡片有效期。根據標準8.1條，各類(lèi)受理終端均不得存儲銀行卡磁道信息、卡片驗證碼、個(gè)人標識代碼、卡片有效期等敏感賬戶(hù)信息。
　　“攜程這次的問(wèn)題是，不加密儲存敏感信息，且在日志中保存了過(guò)多的不必要的信息�！币晃恢Ц缎袠I(yè)人士向《經(jīng)濟參考報》記者表示，“技術(shù)層面的缺陷有時(shí)候是不可抗的，但是涉及到違規存儲用戶(hù)信息這一規則上的漏洞，就事關(guān)道德風(fēng)險，這是企業(yè)自身應該堅守的底線(xiàn)�！�
　　據知情人士透露，攜程此次用戶(hù)信息泄露事件，可能是無(wú)線(xiàn)研發(fā)推進(jìn)過(guò)快而變相導致的。該人士稱(chēng)，攜程的安全漏洞，不是在Web網(wǎng)頁(yè)上的漏洞導致，而是無(wú)線(xiàn)部門(mén)在手機APP產(chǎn)品調試過(guò)程中，保存了日志并在Web.config開(kāi)了目錄遍歷才出的狀況。一位企業(yè)負責IT安全的人士告訴記者，利用目錄遍歷攻擊漏洞，攻擊者能夠超過(guò)服務(wù)器的根目錄，從而訪(fǎng)問(wèn)到文件系統的其他部分，訪(fǎng)問(wèn)受限制文件或資源，或者采取更危險的行為。
　　對于上述情況，攜程此前在接受媒體采訪(fǎng)時(shí)表示，攜程網(wǎng)采用的信用卡支付方式符合國際慣例。銀行授權可做此支付交易的商戶(hù)都是需要通過(guò)信用卡中心認證，均屬于資質(zhì)非常高的商戶(hù)，安全性有保障，攜程也是銀行最早授權可以做此交易的商戶(hù)之一。

    更迅速、更便捷閱讀深度解析、分享新銳觀(guān)點(diǎn)，請掃描二維碼，關(guān)注經(jīng)濟參考報微信公共賬號。