携程现漏洞用户信用卡"被泄密"为何保存CVV码？

原标题：用户信用卡“被泄密” 携程称未现盗刷

“我已把信用卡挂失了，银行服务人员知道此事件严重性，当我致电询问时，立刻劝我挂失换卡号。你们谁在携程刷过卡的也抓紧换吧。”热播剧《金太狼的幸福生活》编剧娟子昨日的这段话，足以反映携程用户们有多恐慌。

前日晚间，国内漏洞研究机构乌云平台曝光称，携程系统开启了用户支付服务接口的调试功能，包括信用卡用户的身份证、卡号、CVV码等信息可能被任意黑客窃取。此报告一出，一石激起千层浪。很多携程用户赶紧到银行解除绑定信用卡。携程昨天最新回应称，乌云所曝信息系此前技术人员未删的临时日志，已在两小时内修复，并已通知93名潜在风险用户更换信用卡并适当补偿，尚未发现携程用户信用卡被盗刷情况。

用户：用携程信用卡泄密？

“一大早刚开机，就收到我爸妈和朋友十几条短信，全是问我绑定携程的信用卡有没有被盗刷。”昨天上午，在一家英语培训机构做讲师的李瑞来到招商银行崇文门网点更换信用卡。他记得，第一次用信用卡在携程网买机票时，需提供信用卡卡种、卡号、有效期、CVV码等完整信息，此后再买的话，只需提供卡号后四位及CVV码就能支付了，“当时我光想着便捷，但没想过携程会储存我的信息，一旦泄露，我可就悲剧了”。

让李瑞紧张的是乌云平台的最新报告。前日晚间，乌云通报称，携程将用于处理用户支付的服务接口开启了调试功能，信用卡用户的身份证、卡号、CVV码等信息有可能被任意黑客读取。

携程是目前国内最大的在线旅游预订机构，这一漏洞消息立即炸开了锅。知名编剧六六也在个人微博上表示：“携程应出详细情况说明，哪些用户受到影响须换卡，还是全部用户，范围有多大。以及风险发生的原因及应对措施，未来还会发生吗？这些问题不解答，用户会紧张。”

携程：让潜在风险用户换卡

风口浪尖的携程选择了积极回应。乌云曝出漏洞后，携程很快回复称，经技术排查在两个小时内修复了漏洞。可能受影响的是3月21日和22日的部分交易客户，将会持续更新调查情况。

昨天下午，携程公布的最新回应表示，经查，这一泄密信息是携程的技术人员此前为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息被全部删除。

那么，这些信息有没有被黑客窃取？携程称，仅漏洞发现人做了少量的测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户，携程昨天已通知他们更换信用卡，并补偿每人500元礼品卡。“截至23日22时，没接到携程客服换卡通知的用户，个人信息均是安全的，无需担心。”

携程还通报称，已和各银行核实确认，并没出现用户信用卡被盗刷的情况。“携程对所有用户信息安全全权负责，如因此产生任何风险及损失，携程将全额赔付承担。”携程方面称，携程还设立了总额500万元的信息安全奖励基金，奖励为携程找出漏洞的信息安全卫士。

“携程的官方回复不准确。”广西易搜科技有限公司CEO严茂军对记者说。他是携程的钻石级会员，绑定了三张信用卡。2月25日，其中两张双币种信用卡在卡不离身的情况下被盗刷十几笔。携程客服当时明确说系统绝对安全。“被盗刷了约一万多元人民币。因是白金卡用户，银行给我72小时盗刷赔偿，我自己没损失。携程的安全漏洞也许早就存在了。”不过，记者暂时无法证实严茂军说法的真实性。

疑问：为何保存用户CVV码？

携程的回应并没法平息用户们的质疑。很多用户在携程官方微博下面发问，为什么要存贮用户的CVV等信息？

什么是CVV码？业内人士介绍，信用卡信息主要包含卡号、有效期、CVV码等，其中打印在卡片签名区的3位CVV码又被称作“第二密码”，掌握着该卡的交易授权，即只要提供正确的CVV码，就能完成支付环节。

中国银联风险管理委员会《银联卡收单机构账户信息安全管理标准》要求：“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”

“交易网站存CVV相当于小时工偷偷配了你家的钥匙，同时，小时工还知道了关于你家所有的信息。”汽车之家创始人李想第一时间在新浪微博上表示，携程存了无论如何也不该存的CVV码，这相当于把用户信用卡的密码存储并泄漏了。这属于企业的基本道德问题。

昨天下午，携程方面回复称，按相关银行的支付规定，携程的部分银行用户交易时需提交CVV信息。用户在线上线下信用卡下单时，系统会询问是否保留相关信息，用户同意授权的话，携程会保存非CVV信息。未扣款成功的CVV信息会暂存7天，目的是降低用户费力度和协助用户便捷支付。如果用户不同意授权，所有相关信息将在交易成功后立即删除。如果是未扣款成功的交易，将在7天内删除CVV信息。“携程的做法，符合PCI-DSS(第三方支付行业数据安全标准)规定，携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。”

专家建议

用户也可开通短信提醒

中国旅游研究院行业分析师杨彦锋对记者说，目前未发现盗刷案例，表示该漏洞利用的情况不大。但携程的错在于不该存储CVV码。携程在付款过程中需要记录并转发给银行接口用户信息，但是记录日志，破坏了安全性。他建议，如果是近期使用过信用卡支付、卡额度或余额高的携程网用户，建议换卡，也可开通消费短信提示服务，这样及时了解信用卡的消费信息。“这一事件，会造成客户对携程的信赖感下降，尤其是对高端商旅客户的信赖感有影响。”