读懂泄密门焦点CVV码

缘起  CVV码就是第二密码

携程为何要存储用户的CVV信息？事件发生后，许多人在携程官方微博里发问。何为CVV码，据网络密码认证技术北京重点实验室主任胡祥义介绍，信用卡信息主要包含卡号、有效期、CVV码等，CVV码是由卡号、有效期和服务约束代码生成的3位或4位数字，一般印在卡片背面签名栏处，用来在交易时进行核对。简而言之，CVV安全码等同于密码，又被称作“第二密码”，它掌握着该卡的交易授权，即只要提供正确的CVV码，就能完成支付环节。

胡祥义告诉记者，使用信用卡快捷支付这一流程，只要求输入身份证号、持卡人姓名、信用卡卡号、CVV安全码，交易就宣告成功，根本无需输入信用卡密码，这些是交易过程中由用户输入，进行信用卡验证后，就要丢弃而不应该存储的信息，而携程作为收单机构却将用户支付的记录用文本保存了下来，这是携程的失误。即使是做测试，也应该在内部实验环境下，而不能将实验放在线上公开进行。

据了解，关于信用卡信息存储，2013年中国人民银行发布了《银行卡收单业务管理办法》，其中第28条规定：“收单机构不得以任何形式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息，并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。”

在支付安全方面，国际上也有一项“第三方支付行业数据安全标准”，这套标准严格规定了网站不能保存哪些用户数据，以及规定网站必须采用加密数据传输等安全措施。其中明确表示，商户可以保存的信息是信用卡号、持卡人姓名、信用卡失效日、业务代码；禁止保存的包括CVV码、PIN（个人识别码）、完整磁条信息（针对POS机刷卡）。既然有这么多的规定，那携程方面为何要明知故犯呢，对此携程旅行网华北区公共事务部经理闫鑫在接受记者采访时表示，按相关银行的支付规定，携程的部分银行用户交易时需提交CVV信息。“携程的做法，符合PCI-DSS（第三方支付行业数据安全标准）规定，携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。”

据了解，早在2010年，携程便与多家银行达成无卡支付服务协议。根据协议，如果用户的该张信用卡是首次在携程使用，则在支付生效前需要客户提供全部的信用卡授权所需信息。如果客户已在携程使用过该张信用卡，且为了方便下次预订，同意携程保留其信用卡卡号和有效期等信息，则在其下次预订时只需提供所存信用卡的卡号后4位，携程就会根据其当初保留在系统中的信用卡授权信息，执行支付步骤。出于安全考虑，携程会要求客户额外提供CVV码加以验证，未扣款成功的CVV信息会暂存7天，目的是降低用户费力度和协助用户便捷支付， 这种支付方式类似于有些电商的“一键支付”，用户只需要首次使用的时候在账户中绑定信用卡信息，往后便可以直接购买支付，而不需要输入密码。

解决  携程赔用户每人500元

闫鑫告诉本报记者，在3月22日，乌云平台发布携程漏洞消息后，携程立即展开技术排查，并在两小时内修复漏洞。经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。携程客服已于3月23日全数通知相关用户更换信用卡，并给予这93名用户每人500元任我行礼品卡作为补偿。

“携程已与各银行进行了核实确认，截至目前，没有发生携程用户信用卡被盗刷的情况。用户不必恐慌，也没有必要费时费力地去换卡。”闫鑫强调。他表示，携程对所有用户信息安全全权负责，如因此产生任何风险及损失，携程将全额赔付承担。

记者注意到，微博认证“严茂军”的网友发布消息，称携程官方信息完全在瞎扯，“我早在2月25日就致电携程，说我绑定携程的几张信用卡被盗刷十几笔外币，当时他们回复我说系统安全正常，现在漏洞出现，居然说没有用户被盗刷！”无独有偶，网友“妮姆and妮姆”也称，通过携程改签机票，被短信骗走2万元，“刚从警方了解，最近这种模式被诈骗立案的特别多，而且都是通过携程网等平台订票后收到了诈骗短信。”

记者就这两条信息向闫鑫求证，他表示，携程这边肯定积极地与用户进行沟通，不过据他所知，这些用户都已报警，现在在等警方给出一个明确的信息，“从我们这边排查的结果，肯定不是我们泄露的。”

采访中，闫鑫并不认可“携程泄露门”这类的说法，他认为这只是一个“漏洞”，而且这个漏洞在两个小时内就弥补住了，从排查结果看，没有任何用户的信息被泄露，因此这个事件不是一个泄露事件，只能说是一个“漏洞”，而漏洞之所以产生，是其技术开发人员为了排查系统疑问，在线上环境开启了支付调试功能，留下了临时日志未能及时删除，而目前这些信息已经删除。“即使是那93位用户，他们也只是有一个潜在的信息安全风险，事实上目前这些风险并没有出现，因此携程是很安全的。”在事件发生后，有没有监管机构为此找过携程，闫鑫表示，目前还没有收到这方面的信息。

出路  第三方支付更安全

如今网上消费网上支付已经深入亿万用户的生活。随着用户群的爆炸性增长，网络支付、移动支付成为了越来越多人的选择，而互联网支付的安全问题也越来越受关注，这次携程被曝出支付漏洞，尤其是记录了包括信用卡CVV码在内的隐私信息，引发了不少人对于网上支付安全的担忧。

据不完全统计，目前携程网日活跃用户已经超过2800万人次。按照2%发生交易的比例来计算，每天有56万用户发生交易。做这样一个假设，如果乌云网没有及时发现携程网的错误，如果携程网的技术再进行几次调用测试，或者数据日志被保留更久的时间，将会有多少用户会面临风险， 据公开数据显示，携程网日活跃用户已经超过2800万人次。按照2%发生交易的比例来计算，每天有56万用户发生交易，如果这样的数据日志保存一个月，将有更多的用户信息处于不安全的状态下。

那么，消费者如何自我防护呢？胡祥义告诉记者，相对于银行的网银支付，便捷支付更为方便，网银支付有一个反复验证信息的过程，从卡号、支付密码，到手机动态码、支付密码，还需要U盾这些加密工具，而便捷支付只需提供银行卡号、使用有效期、CVV码以及身份证号便可完成支付，整个过程只需两三秒的时间。“从安全系数上讲，使用便捷支付，由第三方支付企业和互联网提供安全保障，而网银是直接受控于银行，使用银行的安全系统。因此便捷支付最大的风险是网站能否做好安全防范，信息一旦泄露，用户银行卡就可能被盗刷。”

在胡祥义看来，在互联网金融领域，安全与效率看似是一对矛盾，但对网络用户来讲，进行电子交易时还是要遵循“安全第一”的原则，事实上任何支付方式都不能保证百分之百安全，收单机构只要严格遵从有关规定，不泄露任何用户信息，不保存CVV码这些规定明令禁止保存的信息，严密做好网站的安全防范，便捷支付的安全还是有保证的。他建议在网上交易时尽可能选择安全措施较多的支付方式，尽可能选择知名的网站完成交易，可能的话选择第三方支付工具。