【案例】“携程漏洞门”事件之警示（2）

“携程用户信息漏洞门”追踪

从3月22日开始“发酵”的携程用户信息“漏洞门”于25日告一段落。携程表示，将对支付流程进行整改，取消对用户信用卡CVV信息的询问和登记，不再保留任何用户的CVV记录。

CVV码是由卡号、有效期和服务约束代码生成3位或4位数字。目前很多网站采用无需提供密码的信用卡“离线交易”，即仅凭卡号、CVV码就可完成支付。

取消CVV信息登记

据了解，携程的整改包括，公司客服将取消对用户信用卡CVV信息的询问和登记。同时，严格遵守相关政府主管部门规定，不再保留任何用户的CVV记录。在优化和完善用户支付流程的同时，携程会邀请国内最顶尖的网络系统安全专家来携程“坐堂”，定期“会诊”携程的支付系统以升级加密措施。

此外，携程还表示，已启动PCI（国际支付卡行业数据安全标准）认证和银联认证程序，以期更符合国内外安全规范。

上述整改来自于22日爆发的携程“漏洞门”。3月22日，乌云漏洞平台发布报告称，携程系统存技术漏洞，黑客可从中获取用户个人信息、银行卡号、CVV等信息。

随后，携程回应，已进行安全排查和漏洞修复，存在潜在风险的用户共93人，客服部门已经进行通知和协助换卡并赔偿。这一事件引发携程股价周一跌3.44%，收于每股47.79美元。

国内网站保留CVV信息现象普遍

但是，漏洞门并未因93人的范围确定而结束，而是引发了广大用户对携程支付流程、安全性以及技术水平的质疑。网友的疑问主要集中在“为什么要存CVV”。

此前，携程表示，按照相关银行的支付规定，部分银行用户交易时，需提交CVV信息。在交易完成后，会立即删除。未扣款成功的交易，也将在7天内删除CVV信息。携程称，这样的做法符合国际普遍认可的PCI-DSS（第三方支付行业数据安全标准）规定。

据记者了解，不仅携程，国内许多需要支付过程的网站都会临时保存用户CVV等支付信息。

另外，记者24日接到爆料并核实到，北京汉唐科讯环保科技公司发布内部邮件，要求公司人员停用携程进行出差预订。携程相关负责人对记者表示，经查，该公司并不是携程的商旅客户，可能是散客进行的预订。

携程“漏洞门”再次敲响互联网个人信息安全警钟

一时之间，携程旅行网陷入“支付漏洞”风波，被推向了舆论的风口浪尖，记录支付行为数据等行为广受质疑。主要集中在：其一，携程存储信息“犯规”。据中国银联风险管理委员会已发布的《银联卡收单机构账户信息安全管理标准》规定，收单机构系统只能存储用于交易清分、差错处理所必须的最基本账户信息。而此次曝光的携程却保存了用户相关机密信息，且没有安全存储。其二，携程技术人员在操作中存在工作疏忽。业内人士指出，“携程是行业巨头，又是上市公司，居然也在安全问题上犯这样的错误，只能说没有把用户的利益放在第一位，同时也反映出当前互联网界整体安全意识淡薄的现状。”

除了此次携程“漏洞门”事件，近年来互联网安全事件频发。今年央视3.15晚会就曝光了智能手机预装恶意应用黑幕，偷偷上传用户隐私，让用户对手机安全备感担忧。还有媒体联合调查显示，有68%的受访者表示个人信息曾被泄露过，只有8%的被调查者表示个人信息没有被泄露过，还有24%的人根本不知道自己的信息是否被泄露过。

由此看来，携程“漏洞门”事件作为一个导火索，凸显保护公民个人信息安全的迫切。对于相关企业来说，保障用户利益，增强安全意识，强化技术手段是当务之急。对于个人用户来说，务必提高警惕，随时注意检查信用卡账单和消费短信，如果发现异常，应及时联系银行方面。从监管角度来说，修改后的新《消保法》中，“个人信息保护”首次被作为消费者的权益确认下来，消费者个人隐私受保护的权益终于有法可依。