安全问题将成为互联网时代的大问题，携程“信用卡门”又一次警醒了世人。3月22日，漏洞报告平台乌云网披露了携程网安全漏洞信息，支付过程中的调试信息可被任意黑客读取，其中包含持卡人姓名身份证号、银行卡号、卡CVV码、6位卡Bin等。

事件发生后，携程网表示，将对支付流程进行整改，取消对用户信用卡CVV信息的询问和登记，不再保留任何用户的CVV记录。

漏洞问题：93人被通知换卡

3月22日晚，漏洞报告平台乌云网披露了携程网安全漏洞信息。漏洞发现者“猪猪侠”称，由于携程开启了用户支付服务接口的调试功能，支付过程中的调试信息可被任意黑客读取。由于携程安全支付日志可以下载，导致大量用户银行卡信息泄露，其中包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等。

当晚携程在其微博上回应称，公司相关部门已经在第一时间进行技术排查，并在消息发布2个小时内进行了漏洞弥补工作。

而面临最大风险的，是近期曾经通过携程无线端有过交易行为的用户。携程并没有公布漏洞存在的时间和范围，所以规避风险的最佳办法，就是立即联系银行换卡。

招商银行[0.72% 资金 研报]、建设银行[1.79% 资金 研报]等多家信用卡客服都表示，近几日有很多客户因为携程漏洞问题致电咨询，其中部分客户申请注销原有信用卡，并开通新卡。

携程官方表示：“经携程排查，仅漏洞发现人进行了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。”携程已在3月23日逐个通知这93名用户，没有接到电话则表明“是安全的，无须担心”。

多位近期在携程有过交易的用户表示，自己并没有接到携程网的电话，但是并不意味着自己的个人信息没有被泄露。部分用户已经采取措施解除了信用卡绑定。

系统问题：CVV码留存和PCI标准

在携程上有信用卡支付经历的人都知道，初次使用时须提供信用卡卡种、卡号、有效期、CVV码（即信用卡验证码）等一系列完整信息，然后提交支付。但第二次在携程网使用这张信用卡时，只须提供卡号后四位，携程网就会完成这次支付操作。

CVV(Card Verification Value)也被称为CVC(Card Validation Code)。如果你把卡号、姓名以及有效期等全部报出，商家如何确认这一张卡确实就在用户手中呢？判断的标准就是能否报出CVC号码。如果有人通过某种途径截取了用户的姓名、身份证号、银行卡号、卡CVV码等信息，最严重的后果就是凭借这些信息再复制一张信用卡，在网上或者实体商户进行消费。

根据中国人民银行发布的《银行卡收单业务管理办法》第28条规定，收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。

与CVV相比，另一个让携程面临指责的英文缩写是PCI。

2006年，为了应对支付安全， Visa、Mastercard、American Express、Discover Financial Services、JCB这全球五大国际卡组织一起创办了PCI（国际支付卡行业数据安全标准）安全标准委员会，并制定了一套保护持卡人数据的技术和操作的基本安全要求措施，即PCI DSS标准。

近日，携程表示，已启动PCI认证和银联认证程序，以期更符合国内外安全规范。

白帽黑客：不安全的不仅是携程

出现与信用卡有关的漏洞，自然会联想到与黑客有关的地下产业链。

知名互联网信息安全专家Sunwear在新浪微博中表示，黑客圈做信用卡产业很成熟，欧、美、日等都是黑客的目标，很多网站都会储存信用卡的卡号、CVV、到期日等信息，渠道太多，而携程只是冰山一角。虽然很多数据是加密或隐藏信息但不一定好使。

不过，并不是所有的黑客都会从事这样的生意。黑客中有一类人被称为“白帽黑客”，他们主要利用自己的技术来测试网络和系统的性能，但并不通过这种方式牟利。

这次披露携程漏洞的，就是乌云平台的核心白帽黑客“猪猪侠”，在微博上，他的ID是一个英文名，而他5位数的QQ姓名是另外3个汉字。“猪猪侠”有着一个骄人的战绩，被他发现漏洞的企业包括携程、腾讯、优酷、网易、盛大等，仅在乌云披露的漏洞数量就达125个。

“猪猪侠”表示，不太想针对携程漏洞一事发表过多的评论，而且目前已经有相关部门介入此事。此外，他在微博上表示，他本人已经将安全测试涉及到的日志信息彻底删除，携程也已经及时修复漏洞。但他表示，自己已经发现了另一家网站的安全漏洞。

对于携程声称提供奖励一事，“猪猪侠”说他并未当真。实际上，携程出现漏洞这件事被关注的程度，并不在“猪猪侠”的意料之内，他事后总结说，这可能是因为这个漏洞直接与钱挂钩。