携程用户信用卡机密信息泄露 有遭克隆风险

海都网—海峡都市报讯 前晚，国内知名漏洞报告平台乌云公布了携程支付系统漏洞，即携程安全支付日志可下载，导致大量用户银行卡信息泄露，包含持卡人姓名、身份证、所持银行卡类 别、银行卡号、卡CVV码(防止信用卡被盗用的安全码)、6位卡Bin(用于支付的6位数字)，而这些信息一旦被不法分子掌握，携程用户的信用卡将被任意盗刷。

据相关知情人士介绍，携程的确明文保存了用户的机密信息，违反银联的相关规定。银行人士表示，此次携程所泄露的银行卡信息，足以用于信用卡复制、克隆，风险等级很高，建议更换相关银行卡。

携程：未现恶意下载数据

携程方面表示，前晚已展开技术排查并在消息发布两小时内修复问题。据排查，除了漏洞发现人做了少量的测试下载并已全部删除外，没有出现恶意下载有关数据情况，用户在携程的交易仍旧安全。

据了解，前晚至昨天上午，多家银行已接到部分曾在携程进行过支付的用户的换卡申请。据知情人士表示，此次携程所泄露的银行卡信息已足以用于信用卡复制、克隆，风险等级很高，建议更换相关银行卡。

据相关知情人士介绍，携程的确明文保存了用户相关机密信息，已经违反银联的相关规定。同时，明文存储用户密码等核心信息，在安全上非常危险并且做法业余。

为何保存CVV码?携程未回应

携程表示，可能受影响的为3月21日与3月22日的部分交易客户，目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。携程承诺，未来倘若发生安全漏洞并引起用户损失，携程将给予全额赔付。

23日下午，携程工作人士表示，此次漏洞共涉及93名存在潜在风险的携程用户，客服已通知相关用户更换信用卡。

银行卡的CVV码被认为是无卡购物的最后一道防线，信息一旦遭到窃取，足以被用于信用卡盗刷。360首席隐私官谭晓生表示，CVV码在用户输入 后，会找相应的卡中心去进行验证，在整个交易过程中，这个数据不应该被网站存下来。对于为何保存用户信用卡CVV码等信息，携程方面没有回应。

是否要换卡?如何向携程理赔?

到底是否需要更换信用卡?不愿透露姓名的网络安全人士告诉羊城晚报记者，此前已有携程用户对于携程支付安全提出质疑，携程回应称携程采用的信用卡支付方式符合国际惯例，且公司内部有足够的风险把控能力。

“但从目前情况看，携程的支付系统的确存在很多不确定性，风险程度很高。除了黑客盗取信息，公司内部对用户信息管理情况也令人担忧。”该人士提 醒，安全起见注销原卡更换新卡是最佳选择，若不想更换信用卡，市民今后需留心信用卡账单是否存在可疑消费记录。不少市民关心，若因此次信息泄露事件造成信 用卡被盗刷，该如何向携程提出理赔?据知情人士表示，在还未发生损失的情况下，用户难以向携程提出维权要求。在损失发生后，相关机构会就具体情况进行调查 以确定造成损失的责任方。

保存客户信息违反银联规定

上海鼎力律师事务所孙建中律师表示，携程保存客户信息属于违反银联的规定，如果将客户资料出售则涉及违法，另外，从《消费者权益保护法》看，其技术手段未尽到保护消费者的义务。

根据银联2008年出台的《银联卡收单机构账户信息安全管理标准》，银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要 素，并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。

孙建中直言，此次漏洞事件中曝出携程保存用户银行卡信息，这个做法欠妥，“这更多的是考虑经营者自身的经济利益，而不是站在为客户服务的角度”。