新浪科技 孟鸿

上个周末不太平。

3月22日，18点18分。一个编号为54302的漏洞报告，被曝光在互联网安全问题反馈平台乌云(wooyun.org)之上，发布者是乌云的核心白帽子黑客“猪猪侠”。这份报告表明，携程的一个漏洞会导致大量用户银行卡信息泄露，而这些信息可能直接引发盗刷等问题。

这一消息很快通过媒体广为流传，关注度甚至超过稍后曝出的另一条新闻《华为总部服务器遭美国安局入侵》，也超出此前曝光一些看似也很严重的漏洞。

一个让用户换卡的漏洞

这个漏洞是怎么回事儿？据介绍，由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户的支付记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意黑客读取。

所谓遍历通常是指沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞，被指可能导致大量携程用户的信息曝光，包括：持卡人姓名身份证、银行卡号、银行卡CVV码、6位卡Bin等非常敏感的内容。

携程官方的解释为：技术开发人员为了排查系统疑问，留下了临时日志，因疏忽未及时删除。不过MediaV公司CTO胡宁还是通过微博批评称：“数据传输为明文，且线上竟长时间打开调试功能，导致系统日志中亦为明文，又未及时清理，所存储的服务器还有安全漏洞”。

有携程的同行对新浪科技表示，携程在无线端有过不是非常安全的做法，这种方式虽然便于用户操作，但存在一定的安全风险。而携程内部人士对新浪科技表示，这是一次“意外”的安全事故，携程并非有意保存用户的相关信息，出现这样的问题携程内部也觉得不可理解。

用户们更是不可理解。这次漏洞外泄的信息，意味着用户银行卡的几乎全部信息都存在曝光风险，有了这些信息，信用卡被盗刷可能变成一件易如反掌的事情。

面临最大风险的，是来自于近期曾经通过携程无线端有过交易行为的用户。携程并没有公布漏洞存在的时间和范围，所以规避风险的最佳办法，就是立即联系银行换卡。

据招商银行信用卡客服透露，这几天有很多用户已就携程漏洞问题致电咨询，其中大部分已经采取立即注销原有信用卡、另行开通新卡的避险措施。招商银行工作人员介绍说，重新制作信用卡需要两天时间，加上递送大约需要一周时间，这期间信用卡无法使用。

关键事项：CVV与PCI

面临泄露风险的信息中，CVV更是成为关注的焦点。

CVV(Card Verification Value)也被称作CVC(Card Validation Code)，资料显示，这部分信息是由卡号、有效期和服务约束代码生成的3位或4位数字，一般写在卡片磁条的2磁道用户自定义数据区里面。CVV和CVC的生成方法是一样的，只是叫法不一样而已。

这个信息被用来在交易时进行核对。CVV在联机交易(刷卡)的时候核对，而在不实际刷卡的交易过程中，这个信息更是有着决定性的作用。不过值得详细说明的是，我们通常在不刷卡的支付过程中，需要提供的信息其实叫做CVV2，也就是卡片背面签名档旁边的三位数。

作为敏感信息，CVV2在互联网支付等不刷卡的交易中，有着明确的处理规定。

根据中国银联发布的《银行卡收单机构帐户管理标准》，各收单机构系统只能存储用于交易清分、卡片验证码、个人标识代码(PIN)及卡片有效期。磁道信息、卡片验证码、个人标识代码、卡片有效期只用于完成银联卡交易，不能用于除此之外的任何其他用途。