携程网被曝存安全漏洞 用户银行卡信息或泄露

长江商报消息 本报讯（记者 刘倩雯）昨日晚间，漏洞报告平台乌云网连续发布两条漏洞报告，称携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露，其中包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin。

携程安全构架有问题？

该漏洞的形成是由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。这一被归类为“敏感信息泄露”的漏洞，被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。

信用卡信息主要包含卡号、有效期、CVV2码等，其中打印在卡片签名区的3位CVV2码又被称作“第二密码”，只要提供CVV2码，就能完成支付。

该漏洞发现者“猪猪侠”在昨日下午17时28分提交第一份漏洞报告“携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)”。该平台技术人员、网友“lxj616”则直言，“携程的洞永远是补不完，安全架构有问题，乌云平台某一个土豪已经在携程内网漫游了快一年了还没被发现。”

受影响客户为21日、22日交易客户

昨日晚间10时许，携程网客服人员回复本报称，“在漏洞消息发布后，携程旅行网立即展开技术排查工作，并在消息发布两个小时内修复了问题。”携程表示，可能受影响用户为3月21日至22日的部分交易客户，目前并没有用户受到该漏洞影响而造成财产损失的情况发现。同时，将对于提供漏洞信息者给予重奖。

今年1月，中国网就曾以“携程网被疑储存用户信用卡信息，存在泄露风险”进行过报道，对“银联明文禁存信用卡信息，携程称系国际惯例”的说法提出质疑。此外，业界对“盗卡人常常在网络论坛以售卖低价机票的方式，利用买家提供的身份证信息去完成消费”等构成的消费安全隐患的现象，依然感到担忧。

责编：ZB