江歡

隨著攜程網漏洞事件發(fā)酵，更多人意識到因為技術漏洞導致的信息泄露是小事，而攜程記錄了很多敏感信息是大事。目前攜程已經發(fā)表聲明承諾支付安全、交易完成后立即刪除客戶的敏感信息

3月22日（周六）晚，由烏云平臺曝出的攜程網用戶信息“漏洞門”開始在網絡上發(fā)酵。

為了彌補漏洞造成的損失，攜程網3月23日發(fā)表聲明稱，將給予93名存在潛在風險的攜程用戶每人500元任我行禮品卡作為補償，并建議其更換信用卡。

3月24日，記者聯系到攜程網華北區(qū)公共事務部經理蔣海濱，他提到，“93名存在潛在風險的攜程用戶是被烏云“豬豬俠”下載了數據的用戶?！?/p>

不過，在此事件的處理中，攜程網有避重就輕之嫌。近日有消費者爆料稱，在此次“漏洞門”之前，自己的攜程信用卡已遭盜刷。市場質疑，泄露數據的用戶只有93個，還是有93萬個， 目前不得而知。

同時，值得玩味的是，攜程網在最新聲明中承諾支付安全、交易完成后立即刪除客戶的敏感信息，將嚴格按照監(jiān)管部門的要求完善支付流程。這在其3月23日的聲明中是未曾提到的。

事實上，這次事件牽涉到兩個問題：產生“漏洞”是安全問題，而“記錄用戶信息”則是企業(yè)的“道德”問題。攜程網在最新聲明中承諾刪除客戶敏感信息，表明其已變相承認此前不刪除用戶敏感信息，在法規(guī)面前，攜程網已經“屈服”。

“漏洞門”之外客戶爆料被盜刷

3月22日，記者發(fā)現在微信朋友圈和微博上，大家正在討論是否更換信用卡的問題。

事實上，在被曝出“漏洞門”之前，攜程網就被用戶舉報出現盜刷情況。記者從網上看到一則例子，微博實名認證為廣西易搜科技有限公司CEO的嚴茂軍在微博上指出，“早在2月25日就致電過攜程，我綁定攜程的幾張信用卡被盜刷十幾筆外幣交易。”嚴先生有6張信用卡，綁定攜程的3張卡全部出現問題，未綁定的則安全正常。

攜程發(fā)表的聲明中稱，93名潛在風險用戶沒有出現盜刷情況。但嚴茂軍的經歷卻表明在93人之外，攜程客戶的信用卡曾被盜刷。

攜程網在美國納斯達克上市，作為目前國內最大的旅游類網站，擁有數量龐大的用戶群。公司2013年營業(yè)收入為54億元、凈利潤為9.98億元，相比2012年分別增長了30%和40%。

攜程網數據是否“泄密”引發(fā)激烈討論。對此，記者采訪到安全寶聯合產品副總裁、前阿里巴巴集團高級安全專家吳翰清。

“3月22日晚開始在網絡媒體上熱炒的攜程 ‘漏洞門，其實就是白帽子發(fā)現了漏洞通知廠商進行處理?！?吳翰清解釋，“烏云其實就是一個第三方漏洞報告平臺，本著負責任地披露漏洞過程的精神，收集白帽子們（在網絡安全行業(yè)，做壞事的黑客被稱為‘黑帽子，他們將漏洞用來牟利?！酌弊佣际遣辉敢饫寐┒醋鰤氖碌娜耍运麄冞x擇了將漏洞公開）發(fā)現的漏洞，并報告給廠商，事后會披露漏洞細節(jié)。之所以要披露漏洞細節(jié)是為了讓普通用戶了解到漏洞的危害，并能以此評估對自己的影響?！?/p>

攜程在3月23日的公告中稱：經攜程排查，僅漏洞發(fā)現人做了測試下載，內容含有極少量加密卡號信息，共涉及93名存在潛在風險的攜程用戶。攜程客服于3月23日已全數通知相關用戶更換信用卡，并給予這93名用戶每人500元任我行禮品卡作為補償。

對于“500元任我行禮品卡”的補償，蔣海濱解釋：“此次攜程網的漏洞并沒有對用戶造成實際損失，500元禮品卡的作用是給這93位用戶壓壓驚。”

記錄用戶數據涉嫌違法

“因為技術漏洞導致的信息泄露是小事情，而攜程記錄了很多敏感信息是大事情。這件事情的影響就像當年CSDN（一家知名程序員網站）明文記錄用戶密碼一樣惡劣?！眳呛睬逯赋隽舜舜螖y程“漏洞門”中的最大問題，也是最值得大家關注的問題。

“攜程可能出于一些業(yè)務需要記錄了用戶的信用卡信息，但大多數用戶對此是不知情的。而根據一些安全標準（比如PCI DSS標準，第三方支付行業(yè)數據安全標準），攜程是不應該有這樣的行為的。因此攜程需要重新梳理自己的安全規(guī)范，并加大對安全的投入。因為其獲得了用戶的敏感信息，就有義務保護好。” 吳翰清解釋。

人們通過攜程網預訂時最常用的就是信用卡快捷支付，即通過攜程網站或客服將自己的信用卡卡號、有效期、用戶名和CVV碼輸入，攜程再通過這些信息實現信用卡的快捷付款。

實際生活中，不僅攜程，絕大多數國外網站的信用卡付款都是僅需提供卡號、有效期、用戶名和CVV碼就能實現在線支付，因此這些信息對于持卡人的重要性和安全性可見一斑。

對此，蔣海濱解釋：“攜程網記錄用戶的數據都是經過用戶同意的?！睂τ谑Y海濱的這種解釋，記者咨詢了相關人士。

知道創(chuàng)宇研究部總監(jiān)余弦認為，“攜程記錄用戶信用卡隱私信息這個行為是錯誤的，這個毋庸置疑?！?/p>

“這就像所有網站用戶注冊或桌面軟件安裝時會彈出的‘免責條款一樣，99.9%的用戶是不會去關注的?！眳呛睬逑蛴浾呓忉?。

據央視報道，央行明確表態(tài)，即使沒有這次漏洞事件，攜程也已經涉嫌違法。央行去年頒發(fā)的《銀行卡收單業(yè)務管理辦法》明確規(guī)定，不允許商戶留存用戶的姓名、身份證號、銀行卡號、CVV碼等信息。

中國銀聯風險管理委員會《銀聯卡收單機構賬戶信息安全管理標準》要求，“各收單機構系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼（PIN）及卡片有效期。”

因為記錄用戶敏感信息，攜程網受到的聲討不絕于耳。

汽車之家創(chuàng)始人李想在微博上表示，“交易網站存CVV碼，相當于小時工偷偷配了你家鑰匙，同時，他還知道關于你家所有的信息?！?/p>

對這個敏感而又重要的問題，攜程方面應該知道是有問題的，否則不會在近日“屈服”。

進入攜程網的首頁，最明顯的是掛在公司Logo旁邊的“攜程聲明”。其中寫道，“攜程網承諾支付安全、交易完成后立即刪除客戶的敏感信息，將嚴格按照監(jiān)管部門的要求完善支付流程?！敝档靡惶岬氖?，這一點在其3月23日的聲明中是沒有提到的。

3月27日，蔣海濱發(fā)給記者最新版的攜程聲明中也明確說明，“攜程網將在交易完成后刪除客戶的CVV信息，不再保存。以前保存的那些CVV信息，正在予以刪除?！?/p>

大數據時代須防信息泄露

攜程網的“漏洞門”只是互聯網安全問題暴露出來的冰山一角，在大數據時代會對隱私安全形成空前的挑戰(zhàn)，每個大型互聯網公司幾乎都擁有海量的用戶數據，一旦發(fā)生敏感信息泄露，結果幾乎是無法想象的。

互聯網公司記錄保存用戶的信息有哪些用途？TMT行業(yè)獨立分析師龍真稱：“最簡單的用途是推送垃圾郵件和短信。記錄用戶信息這種行為，是互聯網公司‘最基本的行為?！?/p>

“互聯網上隨時可能記錄你的一些東西。從某種角度來說，隱私就是互聯網的基礎！”余弦也如此說。

安全寶的CEO馬杰向記者表示，如何保護自身的信息安全確實是個難題。不過他自己常用的幾個簡單方法可以和大家分享。第一招，自身密碼的分級，按承受風險的高低來設置。第二招，定期對密碼進行變更。

吳翰清指出：“首先，盡量只上信譽比較好的大網站，他們的安全相對做得比較好。少上一些不正規(guī)的網站，尤其是不要點擊陌生人發(fā)來的文件，或者安裝一些帶有誘惑性導向的客戶端軟件。其次，盡可能不要在網上填寫真實的個人信息，比如姓名、住址等。最后，核心的幾個互聯網服務（比如支付寶、郵箱、QQ等）用一組密碼，非核心的服務（比如論壇、視頻網站等）用另一組密碼。這樣某些小網站發(fā)生數據泄露時，也不會危害到核心的互聯網服務?！?/p>

對于用戶信息的保護，記者3月26日致電招商銀行信用卡服務中心，一位工作人員告訴記者：“目前確實有用戶因為攜程的原因，提出了換卡要求?！彼貏e提到，“招行和攜程網交易的數據傳輸是專線連接模式。招行是不向第三方提交CVV碼的，這也是為了提防客戶的信息留存在第三方。而攜程是記錄不到招行信用卡用戶的個人CVV碼，這次事件對招行的影響應該是最小的。”