携程支付漏洞导致用户信用卡信息泄露 承诺损失全赔

　　北京商报讯（记者 程拓 贺陈慧）国内最大的在线旅行服务商携程旅行网陷入“支付漏洞”风波。上周六晚间，携程网被曝存在系统技术漏洞，可导致用户身份证、银行卡号、卡CVV码（即卡号、有效期和服务约束代码生成的3位或4位数字）、6位卡Bin码（用于支付的6位数字）等信用卡信息泄露。携程网当晚23时许回应称，此前已经对存在的问题进行了修复，并承诺全额赔偿可能造成的用户经济损失。

　　北京商报记者从携程网了解到，目前93名潜在风险用户已被通知换卡，其余用户用卡安全暂未受影响。携程网方面表示，事件发生后，公司同各大银行均取得联系，经核实，目前没有出现信用卡被盗刷的情况，倘若用户因为该漏洞造成财产损失，携程网将给予赔付。

　　曝出此次携程技术漏洞的乌云网人士同时提到，一直以来携程网人工客服会向用户直接索要信用卡有效期和CVV码等敏感信息，并在系统内存储该信息。据业内人士介绍，信用卡的CVV码又被称做“第二密码”，控制着该卡的交易授权，只要提供正确的CVV码，就能完成支付环节。

　　对此携程网方面表示，按照相关银行的支付规定，部分银行用户交易时，需提交CVV信息，否则交易无法达成。业内人士也承认，相关规则确实存在，无论通过何种网站欲与此类银行发生交易，都必须提交CVV信息，目前国内大部分在线支付的网站操作方式与携程网相同。携程网表示，公司在取得用户授权后，会保存非CVV信息，而未扣款成功的CVV信息会被暂存7天，目的是为了降低用户费力度与协助用户便捷支付。

　　若用户未授权，所有相关信息在交易成功后将立即删除。未扣款成功的交易，将在7天内删除CVV信息。携程网的做法，符合PCI-DSS（第三方支付行业数据安全标准）规定。如授权后的客户想要取消授权，则可以在“我的携程”频道中，“常用信息管理”的“常用信用卡”一栏中，删除个人授权保存的银行卡信息。

　　在国内旅游领域，酒店等信息泄露并非首次。2013年10月，国内安全漏洞监测平台“乌云网”披露，自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司，因为安全漏洞问题，使与其有合作关系的大批酒店的开房记录在网上泄露。数日后，一个名为“2000w开房数据”的文件出现在网上，其中包含2000万条在酒店开房的个人信息，容量达1.7G。开房数据中，开房时间介于2010年下半年至2013年上半年，包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间。