３月２２日，漏洞报告平台乌云网披露了携程网安全漏洞信息，携程网存在较大的安全漏洞，可导致用户信息被泄漏甚至盗用，这些信息包括了持卡人姓名、持卡人身份证、所持银行卡类别（比如所持银行卡卡号、所持银行卡ＣＶＶ码以及所持银行卡支付使用的６位Ｂｉｎ。携程网存在安全漏洞的消息一经披露，迅速引发广泛关注，携程网的用户也在网上展开了激烈讨论，其中不乏对携程网及银行涉嫌违规存储、泄漏用户信息行为的声讨。

携程称尚未发生盗刷情况

    漏洞发现者称，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存。而且，保存安全支付日志的服务器并未做较严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意黑客读取。

    对此，携程发布了多次声明进行回应。３月２３日１６时许，携程在其官微解释称，出现这样的情况，是因为携程的技术开发员之前为了排查系统疑问，留下了临时日志，因疏忽未及时删除，此次风险共涉及９３名用户，携程已通知相关用户更换信用卡。截至目前，没有发生用户信用卡被盗刷的情况。未来，如果因安全漏洞引发用户损失，携程将承担全部责任并给予赔付。

商户违规存储用户卡信息

    业内意见认为，这次携程网安全漏洞的披露，也同时曝光了携程网涉嫌存储用户信息卡信息的问题。根据中国银联风险管理委员会印发的《银联卡收单机构账户信息安全管理标准》明文规定：“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码?穴ＰＩＮ?雪及卡片有效期。”因此，携程网显然违规了。

    记者发现，其实部分商户违规存储用户信息的现象由来已久。结合之前银率网用户的投诉，其实不止携程网一家，包括艺龙网、芒果网等在线订票网站在内的商户也都存在违规存储用户信息卡信息的问题。早前，携程网、艺龙网负责人在对相关问题的回应中称，他们这样操作是符合国际惯例的，已得到万事达、ＶＩＳＡ等卡组织的认证，且他们自身也设置了严格的安全措施。

    但银率网分析师孟丽伟认为，这些商户将所谓的“国际惯例”拿来套用是在混淆视听，““国际惯例”不能成为违反国内有关部门规定的挡箭牌，即使得到万事达、ｖｉｓａ卡组织的认证，最多也只能适用于这些发卡组织下发的信用卡，不能普遍适用于所有的信用卡。而且如今看来，这些商户之前所承诺的“严格的安全措施”也是靠不住的，明显的安全漏洞，为用户信用卡信息被盗用埋下隐患。”

银行大开“方便”之门

    从目前用户提供的案例中，有些用户反映说首次通过这些在线订票网站订票时，只输入信用卡卡号、姓名、信用卡有效期、ｃｖｖ２码以及申请信用卡时填写的身份证号就可以完成支付，整个过程不仅没有转入网银平台或第三方支付公司支付通道，也没有输入支付密码、查询密码以及交易验证码。“如果只是携程网或艺龙网等商户方违规操作，是无法实现支付的，银行一方也脱不了关系。”某银行业内人士告诉记者。

    记者以信用卡用户身份拨通某银行客服电话，询问信用卡是否存在较大风险，该银行客服回复说，携程网是银行的合作商户，双方都建立了一套有效的安全防范措施，只要用户自己不泄露信用卡信息，就不会发生盗刷。由此可见，携程网等商户是与银行达成了合作关系，得到了银行的授权，即银行向商户提供便利，允许其在用户不提供信用卡支付密码、查询密码的前提下，实现支付。“至于双方合作的具体内容是什么，商户是否为此承担更高的交易手续费或者以其他方式向银行给予一定费用，不得而知。但可以确定的是，由这种“合作”导致的用户信用卡信息泄露或盗用，银行应负有不可推卸的责任。”该业内人士称。

    对此，孟丽伟认为银行与携程网等商户建立这样的合作关系，不存在相应的法律基础与制度基础，涉嫌违规；携程网等商户擅自存储用户信用卡信息，更是明显的违规操作。“两方的这种行为可能会给信用卡用户带来很大的损失，严重侵害用户的利益。这一问题已被反复投诉和曝光过，但始终都没有得到根本性的解决，银联等有关部门也未出面管理。即使本次携程网被曝光安全漏洞，银联等有关部门也依然未发声，更未采取有效行动进行干预。”

    反而是广大的用户，在意识到潜在的风险后，自发采取措施。据悉，在携程网安全漏洞爆发后，用户开始采取各种行动来规避风险，包括向银行申请冻结信用卡、信用卡挂失、信用卡销卡等等。

    “但如果银行与商户之间的这种合作还将继续，那么更换信用卡并也只是缓解一时之痛，并不能从根本上解除‘顽疾’。这种违规行为和由此造成的风险还是会存在。呼吁银联等有关部门，借由携程网安全漏洞的契机，出面干预，彻底终结银行与商户的这种违规行为。”孟丽伟说。

相关建议

保留换卡凭证以维权

    携程网作为目前国内最大的旅游类网站，很多消费者都曾经通过携程订过酒店或是机票，携程这一安全漏洞引发了很多曾经使用过携程办理过预订业务的持卡人的恐慌。不少消费者担心在乌云网曝出这个漏洞之前，不能排除已经有其他网络高手发现了这个漏洞，并已经通过携程将用户的信用卡盗取备份了。那么这就意味着携程的此次信用卡泄密事件涉及到的或许不仅是它提到的那９３名潜在的风险用户，而是所有曾经用过信用卡在携程网上预订酒店、机票的持卡人。

    尽管携程方面表示，“携程对所有用户信息安全全权负责，如因此产生任何风险及损失，携程将全额赔付承担。”但是有业内人士认为，这类承诺在实际操作上很难实现，持卡人信用卡发生盗刷后，如何证明确实是因为“携程信息泄露”的原因，这个证明携程肯定不会提供，而对于绝大多数持卡人来说，提供这样的证明非常困难，自然所谓的“承担任何风险及损失”也就是一句空话。

    那么曾经的携程用户如何保护自己的信用卡安全呢？孟丽伟建议，最安全的莫过于换卡，因为持卡人换卡后，信用卡卡号和ＣＶＶ２的密码通常都会变更，那么黑客拿到持卡人此前在携程上的信息也不会造成风险了，但是众所周知，信用卡换卡是有成本的，尤其是一些特殊材质的信用卡，比如照片卡、ＩＣ卡等。

    通过目前１０家主要发卡银行的收费标准可以看出，如果持卡人需要换卡，那么需要支付至少１５元的换卡手续费，而如果持卡人的信用卡不止一张，那么这笔费用也是笔不小的支出。

    据记者了解，目前各银行对于此事的反应也不尽相同。其中，在客户强烈要求下，招商银行、工商银行、建设银行、民生银行、交通银行均答应为用户免费更换信用卡（即挂失，一般情况下银行会收取一定的挂失费）。

    孟丽伟建议，尽管目前携程方面并未表示承担这笔费用，但是持卡人最好保留好这笔换卡手续费的支出凭证，以方便日后的维权。

商家不应保存卡号

    在信用卡用户用于网上支付时，一般会被要求输入ＣＶＶ码，而ＣＶＶ码和卡号同时泄露会带来被盗刷的隐患。

    此前，携程有关人员在回应时称，按照相关银行的支付规定，部分银行用户交易时，需提交ＣＶＶ码等信息；用户授权后携程会保存非ＣＶＶ码信息，而未扣款成功的ＣＶＶ码信息会被暂存７天，目的是协助用户便捷支付；若用户未授权，所有相关信息在交易成功后将立即删除，未扣款成功的交易也将在７天内删除ＣＶＶ码信息。该人士强调，携程的做法，符合ＰＣＩ－ＤＳＳ（第三方支付行业数据安全标准）规定。

    然而，中国银联和多家银行都表示，携程的说法不符合实际。央行去年下发的《银行卡收单业务管理办法》第２８条明文规定，收单机构不得以任何形式存储银行卡的敏感信息，并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。也就是说，无论何种理由，携程都无权保存ＣＶＶ码等敏感信息。

    据中国电子商务研究中心监测数据显示，７４．１％的网民在过去半年时间内遇到过信息安全问题，总人数达４．３８亿。