中新网3月24日电(IT频道 吴涛)22日，乌云漏洞平台发布消息称，携程旅行网支付日志存在漏洞，或导致大量用户银行卡信息泄露。携程随后确认存在这一漏洞，并发声明表示，有93名用户存在安全风险。虽然携程表示漏洞已经修复，但这一安全事件仍引发诸多质疑。有专家表示，携程保存客户银行卡信息属于违反银联的规定。

携程存储用户银行卡信息 被指违反银联规定

据了解，此次携程漏洞可使包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin泄露。据了解，CVV即 Card Verification Value，是由卡号、有效期和服务约束代码生成3位或4位数字，一般写在卡片磁条2磁道用户自定义数据区里面。无需密码支付的方式也叫信用卡“离线交易”，仅凭卡号、CVV码等信息即可完成支付。专家提醒，CVV安全码相当于信用卡“第二密码”，需妥善保管。

针对携程此次漏洞，新浪微博认证为“MediaV CTO，原Google技术总监”胡宁称，用户信用卡信息泄露，并非犯低级技术错误这么简单，“敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标，这都是常识”。

金山毒霸安全专家李铁军接受中新网IT频道采访时称，从目前携程和乌云公布的资料来看，携程用户隐私的泄露过程还并不能完全肯定，但是结果造成的用户安全风险是非常大的。“除了被盗刷的可能，了解用户这些信息后还可以创建第三方支付账号，绑定信用卡实现境外购物。”据了解，信用卡有一种支付功能为离线支付，这种支付方式只要知道了用户的基本信息和CVV代码后就可以实现支付。

据多家媒体报道，此次漏洞在于携程记录了用户的CVV代码，上海鼎力律师事务所孙建中律师表示，携程保存客户信息属于违反银联的规定，从《消费者权益保护法》看，其技术手段未尽到保护消费者的义务。财新传媒总编辑胡舒立也直接指出，携程不是第三方支付机构，无权保留银行卡信息。

另一方面，PCI-DSS(第三方支付行业数据安全标准)规定了不允许存储CVV，但携程支付页面称通过了PCI认证，同样令人费解。

安全专家：被记录过CVV代码的用户都必须换卡

携程在声明中表示，“截至23日22:00，没有接到携程换卡通知的客户，个人信息均是安全的，无需担心。”携程表示，目前有93人账户存在安全风险，并承诺未来如果因安全漏洞引起用户损失，携程将承担全部责任并给与赔偿。

但是这份声明或并没有打消用户的担心，不少携程用户在微博表示“必须换卡”。 据了解，作为国内在线旅游市场份额最大服务商，携程日均酒店预订、票务预订等业务量以十万计。不少网友表示，这样大规模的一家企业，即便是如携程所表示仅21日、22日的部分交易客户存风险，难道仅仅是93位吗？

另一方面，怎么界定信用卡被盗刷同携程漏洞有关也是一个问题。网友@舞剧3D：携程所谓赔付的承诺根本不可信，因为你根本无法举证信息泄露与携程有关。还有网友指出，即便现在信用卡没有被盗刷，黑客还是可能把泄露的信息保存起来静默一段时间再动手，而到时被盗刷的原因也很难判断。“如果信用卡被用此种方式盗刷，维权也很困难，因为银行会认为是本人持卡在执行这些操作。”李铁军表示。

有业内人士指出，从目前来看，最为保险的做法是“换卡”。 但是哪些用户有换卡的必要呢？是否携程所有用户都必须换卡？“从目前携程和乌云披露的信息中并不能确定是否所有携程用户信息都被泄露，但是只要被记录过CVV的用户就必须更换信用卡。”李铁军表示。

携程安全隐患可能并未根本解除

携程在公告中称，携程已通知存在潜在风险的93名用户更换信用卡，经银行反馈，目前并没有发生携程用户写用卡被盗刷的情况。但事情似乎并不这么简单。