“銀聯(lián)明文規(guī)定不得以任何形式存儲用戶銀行卡信息，包括但不限于卡號，卡BIN，CVV碼等,請問攜程誰授權你們把用戶這些敏感信息存儲到服務器上的？”微博認證為融通互動CEO崔毅龍的這段話，足以反映攜程用戶們對信用卡泄密的恐慌和憤怒。

他至今仍記得，第一次用信用卡在攜程購買機票時，需提供信用卡卡種、卡號、有效期、CVV碼等完整信息，此后再買的話，只需提供卡號后四位及CVV碼就能支付了，“當時我只想著便捷，但沒想過攜程會儲存我的信息，一旦泄露， 后果不堪設想, 作為使用攜程十幾年的鉆石級客戶，真的很遺憾”。

3月22日晚間，國內漏洞研究機構烏云平臺曝光稱，攜程系統(tǒng)開啟了用戶支付服務接口的調試功能，包括信用卡用戶的身份證、卡號、CVV碼等信息可能被黑客任意竊取。

此報告一出，一石激起千層浪。很多攜程用戶趕緊到銀行解除綁定信用卡。攜程昨天最新回應稱，烏云所曝信息系此前技術人員未刪的臨時日志，已在兩小時內修復，并已通知93名潛在風險用戶更換信用卡并適當補償，尚未發(fā)現(xiàn)攜程用戶信用卡被盜刷情況。

“我們正在聯(lián)合攜程和各商業(yè)銀行共同研究進一步解決措施。”銀聯(lián)資深風險專家王宇表示。

21世紀網(wǎng)從業(yè)內人士處獲悉,3月24日下午銀聯(lián)急召攜程和各商業(yè)銀行卡中心有關負責人開會商議應對攜程信息漏洞事件。

攜程私存CVV碼是否違規(guī)？

信息漏洞事件發(fā)生后，外界關注和爭論的焦點之一集中在攜程為何會保留用戶的CVV碼信息？攜程私自保存CVV碼是否涉嫌違規(guī)？

那究竟什么是CVV碼呢？據(jù)業(yè)內人士介紹，信用卡信息主要包含卡號、有效期、CVV碼等，其中打印在卡片簽名區(qū)的3位CVV碼又被稱作“第二密碼”，掌握著該卡的交易授權，即只要提供正確的CVV碼，就能完成支付環(huán)節(jié)。

由此可見，CVV碼幾乎是信用卡的核心信息，也就是說，如果通過某種途徑截獲了用戶的姓名、身份證號、信用卡號、CVV碼等信息，完全可以憑借這些信息再復制一張信用卡，盜刷風險可想而知。

攜程作為目前國內最大的旅游類網(wǎng)站擁有數(shù)量龐大的客戶群，而人們預訂時最常用的就是信用卡快捷支付，即通過攜程的網(wǎng)站或是客服電話將自己的信用卡卡號、有效期、用戶名和CVV密碼輸入，攜程再通過這些信息實現(xiàn)信用卡的快捷付款。

實際上不僅攜程，絕大多數(shù)國外網(wǎng)站的信用卡付款都是僅需提供卡號、有效期、用戶名和CVV密碼就能實現(xiàn)在線支付，因此這些信息對于持卡人的重要性不言而喻。

“交易網(wǎng)站存CVV相當于小時工偷偷配了你家的鑰匙，同時，小時工還知道了關于你家所有的信息。”汽車之家創(chuàng)始人李想第一時間在微博上表示，攜程存了無論如何也不該存的CVV碼，這相當于把用戶信用卡的密碼存儲并泄漏了。這屬于企業(yè)的基本道德問題。

而中國銀聯(lián)風險管理委員會《銀聯(lián)卡收單機構賬戶信息安全管理標準》要求，“各收單機構系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。”

既然，銀聯(lián)已有規(guī)定在前，那攜程為何還會私自偷偷保留用戶的CVV碼信息？

攜程方面回復稱，按相關銀行的支付規(guī)定，攜程的部分銀行用戶交易時需提交CVV信息。用戶授權后，攜程會保存非CVV信息，而未扣款成功的CVV信息會被暫存7天，目的是為了降低用戶費力度與協(xié)助用戶便捷支付。若用戶未授權，所有相關信息在交易成功后將立即刪除。未扣款成功的交易，將在7天內刪除CVV信息。

攜程進一步表示，“攜程的做法，符合PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標準)規(guī)定，攜程一直按照國際信用卡支付安全標準要求加密保存信用卡信息。”

而銀聯(lián)資深風險專家則對外界明確表示：“攜程私自保存CVV碼違反央行和銀聯(lián)規(guī)定。”

據(jù)一不愿署名的第三方支付人士透露，攜程是跳過銀聯(lián)直接和銀行對接的。

目前暴露出來的漏洞意味著攜程將信用卡持卡人的這些信息都編輯成庫進行了儲存，銀率網(wǎng)分析師認為，這些本來只能是持卡人自己才能知道的信息一旦被泄露無疑會造成大面積的盜刷，就算攜程將這些信息保存完好那么又如何保證有權限查看這些信息的攜程內部員工不會發(fā)生道德風險將這些信息泄露出去？

在上述銀率網(wǎng)分析師看來，實際上國內很多持卡人對于信用卡CVV信息是什么都不了解，大多認為只要自己的信用卡交易密碼不告訴別人就不會被盜刷，自然也不知道如果授權網(wǎng)站保存這些信息會造成自己的信用卡被盜刷，攜程在做信息保存時，在風險安全上的提示并沒有做足。

中國旅游研究院行業(yè)分析師楊彥鋒表示，目前未發(fā)現(xiàn)盜刷案例，表示該漏洞利用的情況不大，但攜程錯就錯在不該存儲CVV碼。

銀行：不確信攜程有無完全徹查

“我們是從攜程得到的消息，按照攜程現(xiàn)在評估的泄露范圍來看，如果它說的是真實情況，只是很小的漏洞，用戶沒必要太過恐慌”，一位昨日參會的國內某大型商業(yè)銀行卡中心負責人對21世紀網(wǎng)表示。

“當然攜程有無完全徹查清楚，有一定的不確信，但所有銀行從外部監(jiān)測來看，目前未發(fā)現(xiàn)明顯的風險上升，且銀行已加強了風險防范級別。”

該卡中心負責人解釋稱，銀聯(lián)之所以召集所有銀行開會，實際上是從外部來看這件事，攜程漏洞被發(fā)現(xiàn)，它也承認了，從它現(xiàn)在承認的情況來看，這個漏洞不大，銀行外部監(jiān)測目前未發(fā)現(xiàn)大的客戶安全問題。

他進一步補充道，攜程說它的數(shù)據(jù)沒有被偷走，是疑似泄露，換句話說就是“門開著，目前從外部來看賊還沒有進門”。

該負責人透露，此次銀聯(lián)出面來召集各方開會，除了事件本身值得深思和需要整改外，銀聯(lián)很可能會對整個市場的規(guī)范采取一些措施。

據(jù)多家銀行稱，會上已達成協(xié)議，所有銀行會聯(lián)合起來共同采取風險防范措施，而且銀行之間會交換情報，及時通氣，因為“這件事需要銀行聯(lián)合起來加總的數(shù)據(jù)看得才有意義”。

21世紀網(wǎng)從多家銀行信用卡中心了解到，攜程漏洞事件曝光后，各家銀行都采取了應急措施，啟動了銀行內部的一整套風險機制，強化了包括交易抽查監(jiān)測在內的一系列動作。

對于攜程目前披露的只有93名潛在風險用戶，外界質疑是否只有93人？其他客戶有無安全隱患？(責任編輯：韓杰)