第1页 :业内人士称其不仅不安全而且不道德
　　超范围保留用户信用卡信息　　业内人士称其不仅不安全而且不道德　　继“酒店开房信息遭泄露”、“浏览器泄露用户隐私”等事件之后，“携程”又被爆有泄露用户银行卡信息风险。对此，携程方面称是公司在技术调试过程中出现短时漏洞。不过，业内专家则表示，并非低级技术错误这么简单，“存储了用户信用卡的CVV码，还泄露了，前一个是企业的基本道德问题，后一个是安全问题”。　　本报讯 （记者索冬冬、林晓丽）漏洞报告平台乌云网22日公告指出携程安全支付日志可下载，导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码等)，有可能被黑客所读取。昨日携程方面承认是公司在技术调试过程中出现短时漏洞，目前没有出现恶意下载有关数据和用户信用卡被盗刷的情况，承诺未来倘若发生安全漏洞并引起用户损失，携程将给予全额赔付。　　记者调查也发现，携程违规超范围存储用户信用卡信息，而为了“征得”用户同意，部分网站则是以“常用卡”为名征存储用户的信息。有业内人士则指出，并非是低级技术错误这么简单，携程系统一直就能看到用户信息，虽然屏蔽了卡号却显示有效期和CVN2等信息。该事件也将令携程股价承压。　　据了解，乌云网指出携程安全支付日志可下载，导致包含持卡人姓名身份证、银行卡号、卡CVV码等大量用户银行卡信息泄露，还被爆某分站源代码包可直接下载，涉及数据库配置和支付接口信息。　　在该漏洞被爆出后，昨日有携程用户表示，为了以防万一对信用卡做了挂失处理，部分用户则是直接选择更换了卡片。携程方面表示，漏洞发现人做了测试下载，内容含有少量加密卡号信息，共涉及93名存在潜在风险的用户，目前已经全部删除。公司客服昨日开始通知用户更换信用卡。　　携程方面承认，在技术调试过程中出现了短时漏洞，该漏洞受影响的用户为近期的部分交易客户，但经过排查没有出现恶意下载有关数据的情况。有分析指出，系统漏洞发生在21日和22日，在这两日使用信用卡支付的消费者可能存在风险。　　事件发生后携程已经和各大银行联系核实，目前还没有出现用户信用卡被盗刷的情况。　　“我们正在联合携程和各商业银行共同研究进一步解决措施。”银联资深风险专家王宇表示。　　卡CVV码，是印在信用卡卡片上的一组检查码，用来验证信用卡，根据不同类型的卡而印于卡的正面或背面，对于银联组织的银联标准卡使用的称为CVN2。
(责任编辑：陈彦娇)
原标题：携程被爆泄露用户银行卡信息(图)
&&&&&&</div
主演：黄晓明/陈乔恩/乔任梁/谢君豪/吕佳容/戚迹
主演：陈晓/陈妍希/张馨予/杨明娜/毛晓彤/孙耀琦
主演：陈键锋/李依晓/张迪/郑亦桐/张明明/何彦霓
主演：尚格?云顿/乔?弗拉尼甘/Bianca Bree
主演：艾斯?库珀/ 查宁?塔图姆/ 乔纳?希尔
baby14岁写真曝光
李冰冰向成龙撒娇争宠
李湘遭闺蜜曝光旧爱
美女模特教老板走秀
曝搬砖男神奇葩择偶观
柳岩被迫成赚钱工具
大屁小P虐心恋
匆匆那年大结局
乔杉遭粉丝骚扰
男闺蜜的尴尬初夜
社区热帖推荐
只为获得水果，其代价便是献上自己……[]
客服热线：86-10-
客服邮箱：买什么便宜
友情提示：携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)
买什么便宜
亲，改密码是不管用的，必须要换卡的！！根据国内知名的网络安全站点乌云网爆料，携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。
信用卡信息主要包含卡号、有效期、CVV2码等，其中打印在卡片签名区的3位CVV2码又被称作“第二密码”，掌握着该卡的交易授权，即只要提供正确的CVV2码，就能完成支付环节。中国网财经中心记者在中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》中看到如下表述：各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。但是携程方面称，按照国际惯例，他们是存储了，这些信息，“公司既然使用这种方式，肯定对风险有足够的把控能力。
建议大家联系发卡行，更换和携程相关的信用卡
买什么便宜
"加入QQ群，分享更多优惠！关注微博获得及时推送信息。
你可能还喜欢
做好事请留名，请先
后再回答，如果还没有帐户请先.
每天必领红包您当前所在位置：
携程银行卡信息泄露原因 携程IT人员仅七名
携程银行卡信息泄露原因 携程IT人员仅七名
媒体查阅中国软件开发联盟CSDN的公开资料时发现，携程的OpenStack团队总共加起来不到二十人，其中核心技术人员只有六七名，相比庞大的呼叫中心和无线端业务人员可谓九牛一毛。
叶亚明万万没有想到，他在携程网大干快上的技术改造升级给其OpenStack团队造成巨大压力。这位携程网新任技术副总裁自上任始，便对整个技术构架进行大刀阔斧的改革。
成也萧何，败也萧何。
乌云漏洞平台上披露的一则信用卡支付&漏洞&，让雄心勃勃的叶亚明绊了个大跟头。这个漏洞散列是：bfe2ea3ca02ec6b。
虽然在此前，乌云网已经连续披露京东商城、支付宝、网易等国内著名互联网企业在用户信息安全防护中存在高危漏洞。然而，此次对于携程漏洞的详细描述&&&通过信用卡支付的携程网用户姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码等信息已有可能被黑客所读取&挑起了公众的敏感神经。
对于信用卡的这个&惊天漏洞&此前已陆续有媒体曝光，在线OTA网站无卡无密码支付也是行业通病，但却使携程落马了。
携程的技术研发部和信息安全部在业界颇具声名，完全自建的携程IT系统包括网站系统、在线交易系统、采购系统等子业务系统，从复杂性上来说，能与之媲美的唯有淘宝。
但关键是技术研发部与信息安全部之间存在微妙的博弈关系，携程的漏洞表面上源于部门员工偶然的失误，实际则是OTA（在线旅游代理）企业恶性竞争的必然结果。
他们的解释
在线旅游市场群雄逐鹿，占有市场份额最大的携程作为先行者一度领跑，过着一家独大的好日子。然而，随着艺龙、去哪儿等竞争对手的崛起，其龙头地位早已岌岌可危。商业模式上，携程依然仰仗着十几年前创业之初确立的呼叫中心带来业务量，而老对手艺龙早已在革命，砍掉线下发卡渠道全力发展线上销售。
而携程依然按兵不动，直到叶亚明的出现。
作为OTA行业的老大，经过十多年的发展，携程逐步构建出自己的护城河&&强大的IT系统。而这个核心部门一直以来颇为神秘，理财周报（微信公众号：Money-week）记者辗转找到内部人士也拒绝媒体采访。理财周报记者遂多方打听，试图揭开其鲜为人知的一角。
携程的IT系统复杂且庞大，完全靠内部一步一步搭建。叶亚明到任后，在携程完成了几次重要的技术改进。据中国软件开发联盟CSDN公开资料显示，携程技术改造升级分别布局于前后端。在网站前台进行页面改版，后台以Open API（开放应用程序编程接口）的方式开放平台资源，同时成立数据中心进行大数据处理。
云技术只是叶亚明的小试牛刀，他更大的野心在对公司技术架构的革新，目前的携程已经采用OpenStack这一云计算平台来搭建。
他在布一个长远的局。
在叶亚明眼中，无线端的业务增长速度在未来将会远远超过呼叫中心。在新的架构下，可以将实体机器完全虚拟化。比如增加300个人，产生300个虚拟机器就可以了，虽然人数增加，但管理机器的数量没有变化，这就会提升效率。
可以想见，如果这一切都万无一失的话，这堪称叶亚明在携程的伟大战役。
但是，理财周报记者查阅中国软件开发联盟CSDN的公开资料时发现，携程的OpenStack团队总共加起来不到二十人，其中核心技术人员只有六七名，相比庞大的呼叫中心和无线端业务人员可谓九牛一毛。
千里之堤，毁于蚁穴。
就是这个搭建了庞大系统的部门，不久前却因技术人员操作不谨慎，被黑客抓住把柄。
3月22日下午，乌云漏洞平台发布消息称，携程系统存在技术漏洞，可导致用户个人信息、银行卡信息等泄露。当晚11点，携程技术人员对漏洞进行确认。23日早上7点，携程官方消息称漏洞已经修补。
据乌云网的说法，携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
而携程公关部针对事件原因接受理财周报记者采访时表示：&漏洞是携程技术人员在对某个服务器进行系统问题排查时，留下临时日志未及时删除所致。&
关于技术排查，相关网站技术人员对理财周报记者进行了详细描述：&所有网站在这一点上都是类似的，网站技术人员会定期对每个服务器进行扫描，主要为了发现潜在的漏洞，并进行修补。这种扫描，有些网站由自己完成，也有会通过第三方机构扫描，由他们出具漏洞清单和修补意见。&
这种扫描漏洞的部门又称为信息安全部或者是风险控制部门，在携程内部有独立的信息安全部门专门负责漏洞扫描和排查工作，但此次的漏洞却为第三方平台乌云网所发布。
携程公关部对此向记者表示：&这部分信息也是处于加密状态，即使拿到信息也要通过破解才能读取。&这对黑客而言并非难事。
与此同时，理财周报记者致电另一家OTA企业，在其网站支付时与携程一样无卡无密即可成功。其CEO表示：&我们不是明文保存的，我们是加密保存的，携程这个案例我们也看了，但具体情况不是很清楚。&对于当时未付款的客户信息，也没有规定保存客户敏感信息7天，具体也是由研发和审计法务的风控部门负责。
&拇指&+&水泥&
携程事件只是冰山一角。
无卡无密码便可支付的信用卡支付已是普遍现象。不管你是在携程网，还是在同程网、艺龙网、芒果网等OTA网站，使用信用卡支付时同样只需要卡号、有效期和CVV码，并不需要密码和卡。
&无卡无密这种支付方式是合理存在的，是行业规定的。像酒店预订，以及携程和类似的商旅网站通常会使用。原则上来讲，商旅网站不应该保存CVV等信息，这是违规的，但银行方面不了解网站是不是这样做。&建行信用卡部办公室工作人员肖瑞娟这样告诉理财周报记者。而招行信用卡专员也肯定了这一说法，并称采用这种支付方式的渠道很多，目前无法提供一个完整的列表。国外交易网站大部分也是通过卡号、卡面有效期、背面后三位码就可以完成了。但有些网站需要万事达或VISA验证服务的话，会要求输入查询密码来验证。
但携程的错误在于违规保存客户敏感信息如CVV码等，这明显违背了央行规定。
根据央行《银行卡收单业务管理办法》第28条规定，收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。
对此，携程方面对理财周报记者表示：&我们将在交易完成后删除客户的CVV信息，不再保存。以前保存的那些CVV信息，正在予以删除。曾经存留的信用卡信息在传输和保存始终处于加密状态，任何未经授权的人员都无法取得这些资料。&
但为什么携程要违规保存客户信用卡的敏感信息呢？
&记录信息处于的思考层面会比较多，方便用户是其中之一，方便自己做一些调试等目的也是有的，但是我们也很难知道它具体还有其他什么目的。可以肯定携程不会自己盗刷用户的卡。按理来说，这些知名的与支付有关的网站是可信的，他们不会做危害用户的行为，只是有些规定并没有执行好，是他们工作上的失误。&国内最早提出网站安全云监测及云防御的北京知道创宇公司研究部总监余弦这样告诉理财周报记者。
此次携程漏洞就是因为开发人员开启了调试，留下了临时日志导致信息有外泄的可能性。开启调试功能对开发人员意味着什么？&因为程序开发中，如果开启了调试功能，则有利于程序员更精准地定位整个支付环节中的一些问题，可能会有利于他们的业务改进。不仅是开发新的产品，包括现有的支付环节，有可能在逻辑上有一些缺陷，比如BUG。调试有利于程序员或者开发人员进一步改进他们的工作。&余弦这样解释道。
这就涉及到研发部门与安全部门普遍存在的一个矛盾：开发为了满足业务可能会疏忽了安全线。而安全部门可能会要求开发人员执行一些安全标准，但当执行这些标准的时候又可能会影响开发进度。&它们是两个互相补充的部门，如果相互之间能配合好的话就不会出现携程事件了。&余弦向理财周报记者说道。
为此，有业内分析人士认为，携程此次用户信息泄露事件，可能是无线研发推进过快而变相导致的。曾经参观考察过携程的大众点评网技术部负责人也对携程产品研发更新速度表示钦佩。携程CEO梁建章在去年回归后的第一个重点就是推出&拇指+水泥&战略，将更多资源偏向移动互联网，所有最新的丰富旅游产品都优先在移动领域尝试。梁建章表示，无线客户端代表的移动互联网将是携程突围的一个关键点。在携程内部，无线业务亦被因此称为&二次创业&。
但余弦认为与市场竞争关系并不大，&这与开发人员的安全意识有关&，余表示。
&擦边球&基因
既然无卡无密码支付是行业常态，这个信用卡支付的&漏洞&早就有媒体曝光，但为什么携程的一个&漏洞&却引起如此大的关注和讨论？
&一是跟公民的财产有关系，用户很在意；二是信用卡的快捷支付很方便，跟银行卡不同，信用卡甚至都不用密码；三是这个事情有很多黑公关炒作的成分在里面，大肆渲染，不负责任地放大这件事。你有听说这几天有谁被盗刷了吗？&余弦这样反问记者，作为安全圈的一员，他直言黑客根本不会盗刷炒作得人尽皆知的事情。
作为在线旅游市场的龙头，携程的用户波及面极广。据悉，每天在携程订票的人数约80多万。
从2012年艺龙挑衅携程引起国内OTA价格战开始，携程就被动地处在各个小OTA公司的联合围剿中，先后投入这场战争的有艺龙、同程、去哪儿、芒果等。
恶战一年多后，OTA的格局并未改变。携程虽然折兵损将，但依然稳居老大地位，2013年的财报也颇为亮眼，根据财报显示：携程2013年净营业收入为54亿元人民币(约合8.9亿美元)，相比2012年增长30%。而艺龙2013年净亏损1.68亿元创下历史新高。
除了真金白银的价格战，口水战也几乎没有停止。携程此次出现如此低级错误，更是难得的反击时机。
抛开行业竞争的大环境，携程本身携带&违规打擦边球&的基因也许早就为此次事件埋下了伏笔，看似偶然的事件也凸显了必然性。
携程正是从&违规&中诞生的。十年之前，从行业来说，跨地区买飞机票是违反规定的，但携程却敢于推出一个全国性的网络订票平台。&这个违规是商业规则不成熟的表现。为什么要改革，就是要改掉这些不合理，看上去合法，实际上它真的是违规的东西。所以携程十年前做了这样一个突破。&在携程信用卡支付漏洞的前一天，CEO范敏曾这样公开说道。
正是这样的&甜头&让范敏更加大胆。
据知情人士透露，2009年以前，携程服务器并不留存用户CVV码，用户每次购买机票，预订酒店都需要输入CVV码；但2009年，范敏为了简化操作流程，优化客户体验，拍板决定在携程服务器上留存CVV码。
如今看来，正是当时范敏的这个决定为今天的&漏洞&埋下了隐患。
而携程对本次事件最新的处理决定是：&我们将会按照监管部门的要求，尽快优化完善用户的支付流程。加强内部排查所有可能存在漏洞，邀请国内知名网络安全专家对携程系统进行会诊。同时，我们已经启动了CFCA和PCI的认证程序，以期更好地符合监管要求。&
问题是，此前携程曾有意向接入该认证程序，但是公司工作人员去考察之后发现，携程自身系统要整改难度太大，业务种类多且交叉多，如果按照该系统接入而整改会使架构都会有所变化，导致至今未引入CFCA和PCI认证标准。
&但是PCI也并非法律条款，只是支付卡大亨自己制定的规范，通过PCI不代表就能保存用户的敏感信息，还要根据国内的规定。&PCI-DSS在中国的合作伙伴北京航天亿展公司的工作人员这样告诉理财周报记者。
而接下来，携程面临的不仅是引入PCI-DSS标准的技术考验，更是如何重树安全支付信任、重拾消费者信心的问题。
关键词标签：
延伸相关阅读：
第九专题推荐
每周酷软推荐
一款电脑系统重装软件
小黑马系统重装大师是一款简单好用的电脑系统重装软件，小黑马一键...
第九行业资讯推荐携程网绑定银行卡时预留手机号不能通过_百度知道
携程网绑定银行卡时预留手机号不能通过
//h.ctrip，欢迎点击这里，推荐您下载“携程旅行”APP（）。　　更多优惠信息，建议您在关注携程微信（iCtrip）后.jpg" esrc="/zhidao/wh%3D600%2C800/sign=e909b7a488fa/e6a7effaaf51f3de667b://h，扫描以下二维码图片即可关注和下载，预订咨询更容易～<a href="http，即可使用微信预订携程产品！”　　动动手指：00之间发送“KF”进入人工告知您的订单号以及具体事宜://m，我们会有专员为您核实处理://www：<a href="http./sPrvQ了解一下～～　　您可在微信中搜索携程公众号“iCtrip”，回复“绑定”或“关联”
已回答29354
响应时间&5小时
其他类似问题
为您推荐：
手机号的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁