江欢

随着携程网漏洞事件发酵，更多人意识到因为技术漏洞导致的信息泄露是小事，而携程记录了很多敏感信息是大事。目前携程已经发表声明承诺支付安全、交易完成后立即删除客户的敏感信息

3月22日（周六）晚，由乌云平台曝出的携程网用户信息“漏洞门”开始在网络上发酵。

为了弥补漏洞造成的损失，携程网3月23日发表声明称，将给予93名存在潜在风险的携程用户每人500元任我行礼品卡作为补偿，并建议其更换信用卡。

3月24日，记者联系到携程网华北区公共事务部经理蒋海滨，他提到，“93名存在潜在风险的携程用户是被乌云“猪猪侠”下载了数据的用户。”

不过，在此事件的处理中，携程网有避重就轻之嫌。近日有消费者爆料称，在此次“漏洞门”之前，自己的携程信用卡已遭盗刷。市场质疑，泄露数据的用户只有93个，还是有93万个， 目前不得而知。

同时，值得玩味的是，携程网在最新声明中承诺支付安全、交易完成后立即删除客户的敏感信息，将严格按照监管部门的要求完善支付流程。这在其3月23日的声明中是未曾提到的。

事实上，这次事件牵涉到两个问题：产生“漏洞”是安全问题，而“记录用户信息”则是企业的“道德”问题。携程网在最新声明中承诺删除客户敏感信息，表明其已变相承认此前不删除用户敏感信息，在法规面前，携程网已经“屈服”。

“漏洞门”之外客户爆料被盗刷

3月22日，记者发现在微信朋友圈和微博上，大家正在讨论是否更换信用卡的问题。

事实上，在被曝出“漏洞门”之前，携程网就被用户举报出现盗刷情况。记者从网上看到一则例子，微博实名认证为广西易搜科技有限公司CEO的严茂军在微博上指出，“早在2月25日就致电过携程，我绑定携程的几张信用卡被盗刷十几笔外币交易。”严先生有6张信用卡，绑定携程的3张卡全部出现问题，未绑定的则安全正常。

携程发表的声明中称，93名潜在风险用户没有出现盗刷情况。但严茂军的经历却表明在93人之外，携程客户的信用卡曾被盗刷。

携程网在美国纳斯达克上市，作为目前国内最大的旅游类网站，拥有数量庞大的用户群。公司2013年营业收入为54亿元、净利润为9.98亿元，相比2012年分别增长了30%和40%。

携程网数据是否“泄密”引发激烈讨论。对此，记者采访到安全宝联合产品副总裁、前阿里巴巴集团高级安全专家吴翰清。

“3月22日晚开始在网络媒体上热炒的携程 ‘漏洞门，其实就是白帽子发现了漏洞通知厂商进行处理。” 吴翰清解释，“乌云其实就是一个第三方漏洞报告平台，本着负责任地披露漏洞过程的精神，收集白帽子们（在网络安全行业，做坏事的黑客被称为‘黑帽子，他们将漏洞用来牟利。‘白帽子都是不愿意利用漏洞做坏事的人，所以他们选择了将漏洞公开）发现的漏洞，并报告给厂商，事后会披露漏洞细节。之所以要披露漏洞细节是为了让普通用户了解到漏洞的危害，并能以此评估对自己的影响。”

携程在3月23日的公告中称：经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。携程客服于3月23日已全数通知相关用户更换信用卡，并给予这93名用户每人500元任我行礼品卡作为补偿。

对于“500元任我行礼品卡”的补偿，蒋海滨解释：“此次携程网的漏洞并没有对用户造成实际损失，500元礼品卡的作用是给这93位用户压压惊。”

记录用户数据涉嫌违法

“因为技术漏洞导致的信息泄露是小事情，而携程记录了很多敏感信息是大事情。这件事情的影响就像当年CSDN（一家知名程序员网站）明文记录用户密码一样恶劣。”吴翰清指出了此次携程“漏洞门”中的最大问题，也是最值得大家关注的问题。

“携程可能出于一些业务需要记录了用户的信用卡信息，但大多数用户对此是不知情的。而根据一些安全标准（比如PCI DSS标准，第三方支付行业数据安全标准），携程是不应该有这样的行为的。因此携程需要重新梳理自己的安全规范，并加大对安全的投入。因为其获得了用户的敏感信息，就有义务保护好。” 吴翰清解释。

人们通过携程网预订时最常用的就是信用卡快捷支付，即通过携程网站或客服将自己的信用卡卡号、有效期、用户名和CVV码输入，携程再通过这些信息实现信用卡的快捷付款。

实际生活中，不仅携程，绝大多数国外网站的信用卡付款都是仅需提供卡号、有效期、用户名和CVV码就能实现在线支付，因此这些信息对于持卡人的重要性和安全性可见一斑。

对此，蒋海滨解释：“携程网记录用户的数据都是经过用户同意的。”对于蒋海滨的这种解释，记者咨询了相关人士。

知道创宇研究部总监余弦认为，“携程记录用户信用卡隐私信息这个行为是错误的，这个毋庸置疑。”

“这就像所有网站用户注册或桌面软件安装时会弹出的‘免责条款一样，99.9%的用户是不会去关注的。”吴翰清向记者解释。

据央视报道，央行明确表态，即使没有这次漏洞事件，携程也已经涉嫌违法。央行去年颁发的《银行卡收单业务管理办法》明确规定，不允许商户留存用户的姓名、身份证号、银行卡号、CVV码等信息。

中国银联风险管理委员会《银联卡收单机构账户信息安全管理标准》要求，“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码（PIN）及卡片有效期。”

因为记录用户敏感信息，携程网受到的声讨不绝于耳。

汽车之家创始人李想在微博上表示，“交易网站存CVV码，相当于小时工偷偷配了你家钥匙，同时，他还知道关于你家所有的信息。”

对这个敏感而又重要的问题，携程方面应该知道是有问题的，否则不会在近日“屈服”。

进入携程网的首页，最明显的是挂在公司Logo旁边的“携程声明”。其中写道，“携程网承诺支付安全、交易完成后立即删除客户的敏感信息，将严格按照监管部门的要求完善支付流程。”值得一提的是，这一点在其3月23日的声明中是没有提到的。

3月27日，蒋海滨发给记者最新版的携程声明中也明确说明，“携程网将在交易完成后删除客户的CVV信息，不再保存。以前保存的那些CVV信息，正在予以删除。”

大数据时代须防信息泄露

携程网的“漏洞门”只是互联网安全问题暴露出来的冰山一角，在大数据时代会对隐私安全形成空前的挑战，每个大型互联网公司几乎都拥有海量的用户数据，一旦发生敏感信息泄露，结果几乎是无法想象的。

互联网公司记录保存用户的信息有哪些用途？TMT行业独立分析师龙真称：“最简单的用途是推送垃圾邮件和短信。记录用户信息这种行为，是互联网公司‘最基本的行为。”

“互联网上随时可能记录你的一些东西。从某种角度来说，隐私就是互联网的基础！”余弦也如此说。

安全宝的CEO马杰向记者表示，如何保护自身的信息安全确实是个难题。不过他自己常用的几个简单方法可以和大家分享。第一招，自身密码的分级，按承受风险的高低来设置。第二招，定期对密码进行变更。

吴翰清指出：“首先，尽量只上信誉比较好的大网站，他们的安全相对做得比较好。少上一些不正规的网站，尤其是不要点击陌生人发来的文件，或者安装一些带有诱惑性导向的客户端软件。其次，尽可能不要在网上填写真实的个人信息，比如姓名、住址等。最后，核心的几个互联网服务（比如支付宝、邮箱、QQ等）用一组密码，非核心的服务（比如论坛、视频网站等）用另一组密码。这样某些小网站发生数据泄露时，也不会危害到核心的互联网服务。”

对于用户信息的保护，记者3月26日致电招商银行信用卡服务中心，一位工作人员告诉记者：“目前确实有用户因为携程的原因，提出了换卡要求。”他特别提到，“招行和携程网交易的数据传输是专线连接模式。招行是不向第三方提交CVV码的，这也是为了提防客户的信息留存在第三方。而携程是记录不到招行信用卡用户的个人CVV码，这次事件对招行的影响应该是最小的。”