携程被曝支付漏洞 违规存用户银行卡信息遭质疑

安全专家：被记录过CVV代码的用户都必须换卡

携程在声明中表示，“截至23日22:00，没有接到携程换卡通知的客户，个人信息均是安全的，无需担心。”携程表示，目前有93人账户存在安全风险，并承诺未来如果因安全漏洞引起用户损失，携程将承担全部责任并给与赔偿。

但是这份声明或并没有打消用户的担心，不少携程用户在微博表示“必须换卡”。据了解，作为国内在线旅游市场份额最大服务商，携程日均酒店预订、票务预订等业务量以十万计。不少网友表示，这样大规模的一家企业，即便是如携程所表示仅21日、22日的部分交易客户存风险，难道仅仅是93位吗？

另一方面，怎么界定信用卡被盗刷同携程漏洞有关也是一个问题。网友@舞剧3D：携程所谓赔付的承诺根本不可信，因为你根本无法举证信息泄露与携程有关。还有网友指出，即便现在信用卡没有被盗刷，黑客还是可能把泄露的信息保存起来静默一段时间再动手，而到时被盗刷的原因也很难判断。“如果信用卡被用此种方式盗刷，维权也很困难，因为银行会认为是本人持卡在执行这些操作。”李铁军表示。

有业内人士指出，从目前来看，最为保险的做法是“换卡”。但是哪些用户有换卡的必要呢？是否携程所有用户都必须换卡？“从目前携程和乌云披露的信息中并不能确定是否所有携程用户信息都被泄露，但是只要被记录过CVV的用户就必须更换信用卡。”李铁军表示。

携程安全隐患可能并未根本解除

携程在公告中称，携程已通知存在潜在风险的93名用户更换信用卡，经银行反馈，目前并没有发生携程用户写用卡被盗刷的情况。但事情似乎并不这么简单。

李铁军分析称，这次的事件并没有根本上解决风险的可能，因为从目前来看携程违反了银联此前禁止记录CVV的规定。“结合此前携程支付方面受到的安全质疑，携程在之前或还存在记录用户CVV的嫌疑。”

据多家媒体报道，此前已有携程用户对于携程支付安全提出质疑，携程回应称携程采用的信用卡支付方式符合国际惯例，且公司内部有足够的风险把控能力。微博实名认证为广西易搜科技有限公司CEO的严茂军昨日在微博上表示，“早在2月25日就致电过携程我绑定携程的几张信用卡被盗刷十几笔外币的事件，当时他们回复系统安全正常。”

昨日，羊城晚报援引安全人士表示，“但从目前情况看，携程的支付系统的确存在很多不确定性，风险程度很高。除了黑客盗取信息，公司内部对用户信息管理情况也令人担忧。”

虽然不少携程的用户在看到消息之后，已经连夜向银行申请取消信用卡。但在奇虎360首席隐私官谭晓生看来，从已知信息来说，仍不能准确断定是否已经有大规模泄露发生，真正的情况只有当事企业自己清楚。(中新网IT频道)