烏雲籠罩攜程被曝泄露用戶支付信息

樂琰

繼如家等連鎖酒店被曝出泄露客人信息后，又一家大型企業被指泄密客戶信息。《第一財經日報》昨日獲悉，攜程(CTRP.NASDAQ)在22日被國內安全漏洞監測平台“烏雲網”披露：攜程旅行網支付日誌存在漏洞，用戶銀行卡信息可被黑客任意讀取。攜程昨日坦承漏洞的確存在，其已進行修補，並已通知存在潛在風險的93名用戶更換信用卡。

3月22日晚間，攜程被一片“烏雲”籠罩。當日，烏雲漏洞平台披露：由於攜程用於處理用戶支付的安全支付伺服器介面存在調試功能，將用戶支付的記錄用文本保存了下來。同時因為保存支付日誌的伺服器未做較嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意駭客讀取。

烏雲平台指出，攜程安全支付日誌可遍歷下載，導致大量用戶銀行卡信息泄露，其中包含持卡人姓名、身份證、銀行卡號、卡CVV碼、6位卡Bin等。

攜程方面承認漏洞存在。攜程昨日向《第一財經日報》表示，其已展開技術排查，並在2小時內修復了這個漏洞。經查，攜程的技術開發人員之前是為了排查系統疑問，留下了臨時日誌，因疏忽未及時刪除，目前，這些信息已被全部刪除。

攜程表示，經排查，僅漏洞發現人做了測試下載，內容含有極少量加密卡號信息，共涉及93名存在潛在風險的攜程用戶。3月22日晚至23日，攜程已通知存在潛在風險的93名用戶更換信用卡，銀行方面也會盡快協助用戶辦理換卡手續。經各銀行反饋，截至目前，沒有發生攜程用戶信用卡被盜刷的情況。

攜程承諾，未來如果因安全漏洞引起用戶損失，攜程將承擔全部責任並給予賠付。攜程同時表示，將加固系統信息安全。

但有消費者擔心，假如發生信用卡損失，如何證明與攜程有關？

微博名為“原子小金剛君”的網友指出，攜程的聲明從法律和邏輯上看起來沒問題，但假如用戶被盜刷了，如何先證明信息是從攜程泄露的呢？

主動披露攜程漏洞問題的烏雲漏洞平台，是一個位於廠商和安全研究者之間的安全問題反饋平台。該平台上有不少“白帽子”，即具有專業技術者，他們有時也會以“駭客”身份進行漏洞檢查，但“白帽子”不會惡意牟利，而是善意提醒發生漏洞的企業進行修補。此前烏雲曾發現如家等知名連鎖酒店有泄露客戶信息的問題，並對此進行了披露。

去年10月，烏雲平台披露，自稱是中國最大的酒店數字客房服務商的浙江慧達驛站公司，因為安全漏洞問題，使與其有合作關係的大批酒店的開房記錄在網上泄露。數天后，一個名為“2000w開房數據”的檔案出現在網上，其中包含2000萬條在酒店開房的個人信息，容量達1.7G。

“現在各大OTA、購物網站等都在力拓無線端，近期打得不可開交的在旅遊和購物價格戰都是為了爭奪無線端客戶。為了搶個微信紅包或獲得旅遊品返現等，很多年輕客戶捆綁銀行卡，但是這種便捷的在支付背后或許蘊藏很大的危機。如何監管這些因為網絡化經濟而帶來的支付風險是個十分嚴峻的問題。”華美首席知識專家趙煥焱分析。