携程旅行网上周末发生的信用卡信息泄露事件，或为所有正在向无线市场大举冲刺的企业敲响了警钟。

3月22日，漏洞报告平台乌云网连续披露了两个携程网安全漏洞，漏洞发现者称由于携程开启了用户支付服务借口的调试功能，导致携程安全支付日志可被任意还可读取，日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。

携程此前发布的官方解释称，安全漏洞是由于技术开发人员为了排查系统疑问而留下了临时日志，并由于疏忽未及时删除。

另据知情人士透露，这次携程的安全漏洞，可能并不是在Web网页上的漏洞导致，而是无线部门在手机APP产品调试过程中，保存了日志并在Web.config 开了目录遍历才出的状况。一旦掌握了目录遍历，攻击者能够超过服务器的根目录，从而访问到文件系统的其他部分，访问受限制文件或资源，或者采取更危险行为。

腾讯科技昨日就此咨询携程官方，但截至发稿还没有收到相应回复。乌云网联合创始人孟德则告诉腾讯科技，漏洞虽然官方答复已经修复，但漏洞仍处于细节保密期（45天），等到漏洞细节公开后才能看到当时的具体情况。

业内分析人士认为，携程此次用户信息泄露事件，可能是无线研发推进过快而变相导致的。携程CEO梁建章在去年回归后的第一个重点就是推出“拇指+水泥”战略，将更多资源偏向移动互联网，所有最新的丰富旅游产品都优先在移动领域尝试。梁建章表示，无线客户端代表的移动互联网将是携程突围的一个关键点。在携程内部，无线业务亦被因此称为“二次创业”。

在移动互联网时代，企业对速度和效率的追求相比PC时代变本加厉，这也使得和企业利益没那么紧密的安全问题屡屡被忽略。孟德也向腾讯科技表示，从以前乌云上报告的案例情况来看，新兴的移动产品开发确实要格外注意隐私安全问题。

CVV码暂存争议：是否符合国际安全标准？

此次携程安全漏洞的关注焦点，在于携程是否违规保存了用户的信用卡CVV/CVC码信息。所谓CVV安全码，即信用卡背面签名条后7位斜体数字的末三位，是进行网络和电话交易时的安全特征，是属于高度机密的用户信息。

汽车之家创始人李想表示，“交易网站存CVV相当于小时工偷偷配了你家的钥匙，同时，他还知道关于你家所有的信息。而存储了用户信用卡的CVV，还泄漏了，前一个是企业的基本道德问题，后一个是安全问题。”

在离线交易模式下，只要掌握信用卡卡号、有效期、卡背上的3位CVV安全码等便可以完成交易，整个消费过程中不需要通过任何密码认证。

一位匿名的安全专家告诉腾讯科技，根据乌云提供的信息来看，携程违反了银联此前禁止记录CVC的规定，导致这次的事件并没有根本上解决风险的可能。目前用户只能通过信用卡账单查询，才能了解自己的银行卡是否被盗用。

PCI SSC作为目前国际上支付卡行业最高级别的安全标准认证，也明确禁止成员保存CVV码，否则予以重罚。

对于此次泄露用户CVV信息事件，携程的官方解释尚有两个疑点。

首先，携程为何会保留用户的CVV信息、是否违规？携程官方称，在用户授权后，携程会保存非CVV信息，而未扣款成功的CVV信息最多会被暂存7天，目的是为了降低用户费力度与协助用户便捷支付，符合PCI-DSS规定，携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。