携程被指违规获取用户信息 引发消费者换卡潮

　　针对漏洞报告平台乌云日前指出携程信息安全漏洞问题，携程方面23日回应称，携程旅行网在技术调试过程中出现了短时漏洞，公司已在两小时内修复了这个漏洞，携程用户信息未受影响。不过，来自银行客服的信息显示，受上述事件影响，已开始有消费者陆续向银行要求换卡。有IT安全人士进一步指出，携程存在违规获取信用卡用户信息之嫌。

　　近日，乌云平台连续披露了两个携程网安全漏洞，漏洞发现者称由于携程开启了用户支付服务借口的调试功能，导致携程安全支付日志可被任意骇客读取。安全日志包含的信息包括：持卡人姓名、持卡人身份证、所持银行卡类别(比如，招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位BIN(用于支付的6位数字)。

　　消息一出，携程方面随即展开技术排查。据携程排查，可能受影响的为3月21日与3月22日的部分交易客户，除了漏洞发现人做了少量的测试下载并已全部删除外，没有出现恶意下载有关数据的情况，用户在携程的交易仍旧是安全的，用户的信息安全没有受到影响。

　　事件发生后，携程同各大银行均取得联系，经核实，目前也没有出现用户信用卡被盗刷的情况。携程表示，未来倘若发生安全漏洞并引起用户损失，携程将给予全额赔付，而对于此次漏洞事件如果有新的进展也将持续通报。

　　记者了解到，受这一事件影响，已开始有消费者陆续向银行要求换卡。“据说这两天银行客服电话快被打爆了，周围朋友不放心，都在要求换卡。”上海的窦女士告诉记者。记者从多家银行客服方面了解到，已经有不少客户向银行反馈此情况，而银行方面也建议客户更换卡片。

　　“此次事件涉及持卡人信息安全问题，作为卡组织，银联对持卡人权益保护一直高度关注。我们第一时间与携程取得联系，正在了解事件的相关情况。”中国银联资深风险专家王宇表示，“根据目前了解到的情况，携程方面对此次事件原因的解释是，携程的技术开发人员为了排查系统疑问，留下了临时日志文件，因疏忽未及时删除，目前，这些信息已被全部删除。”

　　王宇称，希望携程严格按照与相关合作机构的协议约定，对本次信息泄露的状况真实、完整地反映给发卡机构，及时通报事件处置进展;请发卡机构尽快将相关信息反馈持卡人，保护持卡人信息和资金安全。同时银联也在联合携程和各商业银行共同研究进一步解决措施。银联建议，近期在携程使用过信用卡的持卡人，尽快与发卡银行取得联系，根据发卡银行给出的建议处理。

　　值得注意的是，该事件进一步引发市场人士对于携程违规获取用户信息的担忧。

　　有市场人士指出，携程记录用户支付信息的行为违反了银联2008年发布的《银联卡收单机构账户信息安全管理标准》。根据该标准的2.1条，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。根据标准8.1条，各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。

　　“携程这次的问题是，不加密储存敏感信息，且在日志中保存了过多的不必要的信息。”一位支付行业人士向《经济参考报》记者表示，“技术层面的缺陷有时候是不可抗的，但是涉及到违规存储用户信息这一规则上的漏洞，就事关道德风险，这是企业自身应该坚守的底线。”

据知情人士透露，携程此次用户信息泄露事件，可能是无线研发推进过快而变相导致的。该人士称，携程的安全漏