携程，你是要坑死用户吗？

文/穆楠

人生最惨的什么？和小三开房，被老公上网知道了。

比这个更惨的是什么？开完房后，发现信用卡还TM被盗刷了。

通过互联网，现在这些都可以轻松实现啦，年前流传出了全国4000万开房记录不知道拆散了多少家庭，以后不知道又不知道多少携程VIP用户的信用卡会被盗刷……

著名漏洞报告平台乌云今天曝出了携程重大安全问题，由于涉及到信用卡号，支付密码，CVV安全码等，格外引人关注，尤其是经常通过他们预定酒店机票的媒体及公关同学们。引用一下报告原文：

携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。(类似IIS或Apache的访问日志，记录URL POST内容)。

同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

其中泄露的信息包括用户的：持卡人姓名、持卡人身份证、所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）、所持银行卡卡号、所持银行卡CVV码、所持银行卡6位Bin(用于支付的6位数字)

乌云的报告提交者已经描述的足够简单易懂了——你存在携程服务器的信用卡信息有可能被人利用的，至于会不会这么倒霉，就看是否有足够的利用价值了。

这次漏洞中，最让人不解的是携程居然私自存储用户的信用卡信息，连密码和安全码也都记录在案……绝对可以算得上一枚定时炸弹了。

携程22日晚些时候对漏洞进行了回应，这时已经据漏洞发布者公开曝光过了近4个小时，至于将漏洞反馈给携程到现在更是过了不知道多久，这回应速度……令人堪忧，并且回应中的“目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现。”也够不负责的，你们没收到并不代表没发生。回应全文如下：

我相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现。 携程对于乌云平台发现的漏洞信息表示非常重视和感谢并将对于提供漏洞信息者给与重奖。对于此次漏洞事件如果有新的进展将持续通报。

造成这此重大漏洞，底是技术问题还是态度问题，我们不得而知，只希望在此时别有黑手伸向无辜用户。汽车之家创始人李想的评论代表了一大部分高端用户的态度：

“交易网站存CVV相当于小时工偷偷配了你家的钥匙，同时，他还知道关于你家所有的信息。而存储了用户信用卡的CVV，还泄漏了，前一个是企业的基本道德问题，后一个是安全问题。”

“有些信息可以存，有些信息无论如何也不能存，携程存了无论如何也不该存的CVV，这相当于把你信用卡的密码存储并泄漏了。需要输入CVV和存储CVV是两个概念。这时候还帮着携程说话的，就是典型的被卖了还帮着数钱的。”

由于行业的特殊性，OTA领头羊携程一直就处于不少负面新闻中，其重点运营的酒店预定，票务预定，旅行服务都直接涉及到支付环节，一旦在这方面出现重大漏洞，影响的户面非常大。

就在几星期前，乌云平台曝出了微信存在视频安全漏洞——用户通过微信拍摄、发布于wx.qq.com域名下的视频会被外部用户访问。

不过腾讯的反应相当迅速，第一时间暂时停止了‘收藏’中的视频分享功能，并坚称产生这一问题并非微信存在漏洞，原因系部分用户利用了微信“收藏”分享功能，上传并主动在第三方网站传播非法视频内容。至于这些视频是什么以及如何产生的，你懂的。

这次携程遭到曝光的漏洞，伤害性丝毫不亚于艳照外流，后续就看携程如何解决问题了。总之，不管是技术问题，还是行业潜规则，私存极为隐私的银行卡（包括安全码）等信息，足以吓跑不少用户。

生成海报

免责声明：本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时，应及时向本网站提出书面权利通知或不实情况说明，并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后，将会依法尽快联系相关文章源头核实，沟通删除相关内容或断开相关链接。