携程漏洞事件暴露支付安全现状 CVV码不应保留

3月22日晚间，根据乌云漏洞平台的描述，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

[[110466]]

持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等重要用户信息均被泄露。这一事件使得携程招致巨大的用户信任危机，其官方微博也遭受大量用户指责。据携程表示，漏洞是由于该公司技术开发人员排查系统疑问时未及时删除临时日志而产生的，目前，这些信息已被全部删除。

不谈此次事件到底产生什么后果，先分享个来自携程用户讲述的亲身经历

携程出了这档子事，我一点也不稀奇。Why I’m not surprised?我就讲一个发生在我身上的事：记得是2011年吧，那会我在印尼出差，回国要途经香港转机需要住一天，就打电话给携程订酒店。

结果什么都谈好了，到了支付环节，携程说需要我的信用卡做担保，我说没问题。信用卡做担保，这不太正常了么?对吧?太正常了!结!果!携程那话务员就开始在电话里拿中文问我的信用卡号、有效期、CVV码以及身份证号!是真的“问”，然后要我把号码念出来，她再大声的重复一遍以校验。

我当时就崩溃了，卧槽这号码是随便说的吗?有信用卡号、有效期、CVV码这三个东西，网上就可以随便刷我卡了好吗?但是没办法，酒店必须得订，当时只有携程订方便，我其他的方式根本不知道。订完酒店吓的我都快尿了，回国之后立马cancel信用卡重新办了一张。

这还没完，我之后和携程投诉，电话打了快一小时，他们那的经理显然完全不理解我在说什么。先一个劲的问说你是怕自己念卡号被别人听去了吗，那你找个僻静地方呗。(吐血不止)然后又一个劲的跟我赌咒发誓保证他们的话务员不会盗用我的卡片信息，说携程话务员是well trained。卧槽你去银行取钱，然后银行因为信任自己的员工就让你把密码直接说出来，这他妈是间谍片对暗号呢吗?我当时非常生气，我说要这样，我哪天去你们公司应聘话务员，一旦开始工作我随便记住哪个客户的信用卡信息，我刷个几千上万，神仙也查不出来。然后怎么讲也讲不通，感觉他们就不认为这是个事，气的我就直接把电话挂了。

这还没完呢，又过了一年，我也是没长记性，异地考托福又想通过携程订酒店，又管我要信用卡信息，到了CVV的时候说让我按键盘输入。我一阵那个欣慰啊，心说我的投诉终于有用了，他们终于明白了这东西不能让人看见，我容易吗我。然后我心里甜滋滋的输入了CVV并按了#号，然后就听到话务员的甜美声音“王先生您刚才输入的CVV是123没错吧?

我当场差点没一口血喷出来，这!有!什!么!意!义!吗?携程岂止是存储CVV码，简直就是没有对这些有重大价值可以给客户造成重大损失的信息有丝毫的重视，他们出了这种事，简直太正常了，太正常了。

大家质疑的不是漏洞，而是携程为什么不尊重行业准则?

此次的携程事件，实际上暴露了普遍存在的支付安全现状。漏洞的发生是在支付服务调试过程中，由于技术人员疏忽导致部分临时日志被乌云专业人士发现并爆料。目前只有爆料的乌云专业人士下载了93人的信用卡信息，且这些信息均为加密保存，除非该人士破解成功并盗用，但其已第一时间将其删除。

从目前情况来看实际影响范围其实并不大，但这件事情仍然引起了业内人士的广泛关注，因为主要的问题不在于这是不是漏洞，而是因为只要有这个日志在，你就是再高明的系统也没用。虽然说这次信息泄露事件是在乌云上首先被爆料出来的，但能被一个人发现的问题，极有可能也被另外一个人发现。

这就需要携程对这个事件中的具体内容加以披露：什么时候开始的这种日志打印?覆盖了多少人的敏感信息?通过审计统计有多少人对这些文件进行了访问?只有回答好这些问题才能解决用户心中的疑虑。

技术人员犯错我们可以理解，但大家最普遍质疑的是：为何携程会保留CVV码等敏感信息?实际上了解电商行业的人都知道，在将cvv2等敏感信息提交到具体的发卡行之前，将其信息暂存是电商行业的普遍做法，否则支付过程中无法将有效参数传递到发卡行。根据支付卡产业数据安全标准(PCIDSS：PaymentCardIndustryDataSecurityStandard)的规定，CVV码的信息在商户是可以暂存的，其安全性由商户保证。

其具体规定主要有两点：

①用户在商户提交信用卡支付成功后，商户必须立即将CVV码信息删除。

②若提交信用卡支付未成功，商户可以将CVV码信息保存7天后清除。

企业针对CVV码的普遍做法都是暂存但不保留，但这些规定携程却并没有严格遵守，所以才有了这次的信息外泄事件。

亡羊补牢现在为时不晚，携程现在要做的是站出来勇于承担自己的错误

目前为止，我们还没有看到公开的正式道歉信。与此同时携程应该尽快修复漏洞，排查哪些客户的信用卡信息遭到了泄露。整理出来，逐一通知泄露的客户，请求客户更换卡片。同时，联系各家受到波及的银行，告知泄露情况，请各发卡行对早泄露卡片做批次block处理。

考虑所有涉及这类信息的应用场景，这些大家应该都没提到，就是，比如使用身份证号、银行卡号CVV等信息用于做验证的场景。下面罗列了一些最常见的验证场景，我们可以看到如果携程公布的信息真实，那么此次泄漏暂时不影响所有网络交易，不会产生风险。至于网上所谓提出的建议改密码毫无作用，因为信用卡网上支付除了网银模式，不涉及到密码!

网银支付：缺少查询密码

快捷支付：缺少手机号和短信验证码

快捷支付绑定：缺少有效期，手机号，短信验证码

银联无卡支付：缺少有效期，手机号，短信验证码

电话订购：缺少有效期

双币卡境外购物：缺少有效期，部分还需要账单地址验证

不过一名资深网络安全人员表示，尚未造成财产损失并不意味着用户的账户及银行卡信息安全，建议用户拨打对应银行的客服电话申请停卡，或直接办理挂失。个人建议不论携程此次事件最终处理结果如何，信用卡信息到底有没有泄露，还是最好及时更换新卡。因为不怕一万，就怕万一。财产安全毕竟是和自己息息相关的大事。