携程只是支付漏洞？你将PCI DSS规范置于何地？

ZDNET安全频道 03月23日 北京报道： 携程银行卡信息泄露事件持续发酵，引发众多消费者对用卡安全的担忧。携程官方回应称，“此漏洞是携程的技术开发人员为排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。”

携程针对支付日志漏洞致用户信用卡信息泄露的官方声明（点击放大）

同时，携程在声明中指出，经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。

在声明中，我们注意到，携程虽然对结果进行了补救，但对一些关键信息并没有给出解释。

为何保存CVV安全码？

我们知道CVV安全码等同于密码，一般进入支付金额这一流程，用户被要求输入身份证号、持卡人姓名、信用卡卡号、信用卡卡背面上三位CVV安全码，交易就宣告成功，根本无需输入信用卡密码。所以，它的作用与风险可想而知。

但携程却保存了CVV码，不幸的是又泄露了。暂且不说漏洞本身，但是最起码的安全意识却没有。

就 像某位微博用户提到的，“交易网站存CVV相当于小时工偷偷配了你家的钥匙，同时，他还知道关于你家所有的信息。而存储了用户信用卡的CVV，还泄漏了， 前一个是企业的基本道德问题，后一个是安全问题。有些信息可以存，有些信息无论如何也不能存，携程存了无论如何也不该存的CVV，需要输入CVV和存储 CVV是两个概念。”

所以，对与携程的回应，很多人并不满意。就像明朝万达董事长王志海认为的，“携程用户信用卡及信息泄漏事件，携程旅 行网回复避重就轻，有漏洞能理解，信息不加密也可只算不重视用户隐私，重点是为什么要违规记录用户信用卡的cvv？作为号称经过pci认证的知名电商不应该不知道这是违法行为吧？”

所以，到这我们不仅要质疑携程的安全意识，而且你是否在违规呢？

我们知道，携程在美国纳斯达克上市，对于 PCI DSS规范应该是熟悉的。PCI DSS 中的要求是针对在日常运营期间需要处理持卡人数据的公司和机构提出的。具体而言，PCI DSS 对在整个营业日中处理持卡人数据的金融机构、贸易商和服务提供商提出了要求。PCI DSS 包括有关安全管理、策略、过程、网络体系结构、软件设计的要求的列表，以及用来保护持卡人数据的其他措施。

看来，PCI DSS 对携程又有多少落地呢？延伸到更多涉及支付行业的企业，又有多少拿此规范应用到支付流程中呢？

事件还原：

3 月22日晚间，漏洞报告平台乌云网在其官网上公布了一条网络安全漏洞信息，指出携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露 (包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。此外，携程还被曝某分站源代码包可直接下载 （涉及数据库配置和支付接口信息)。

漏洞详情描述：

由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

所谓遍历通常是指沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞，被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。