3月22日18时18分，漏洞报告平台乌云（WooYun）曝光携程支付日志存在安全漏洞。恰逢传统金融业与互联网金融激烈博弈之际，事件也再次拷问了网络支付的安全问题。

携程方面针对此事给用户造成的困扰发表致歉。携程网在给《每日经济新闻》的回复中称，“3月22日晚已展开技术排查并在消息发布两小时内修复问题。93名潜在风险用户已被通知换卡，其余携程用户用卡安全不受影响。事件发生后，携程同各大银行均取得联系，经核实，目前也没有出现用户信用卡被盗刷的情况。携程郑重承诺，未来，倘若发生安全漏洞并引起用户损失，携程将给予全额赔付。”

然而，事件的影响并未平息。有银行客服反映称，携程网的公告安抚可能收效甚微，工商银行某客服人员告诉记者，昨天（3月23日）打电话要换卡的人很多，“我自己就接了10个左右”。

违反“禁止记录CVV”规定？

根据乌云的报告，漏洞泄露的信息包括用户持卡人的姓名、身份证号、银行卡类别、银行卡号、银行卡CVV码（即由卡号、有效期和服务约束代码生成的3位或4位数字），以及银行卡6位Bin（用于支付的6位数字)。也就是说，黑客若有了这一套信息，就能盗用用户账户。事件发生当晚，携程方面确认了这一“安全漏洞”的存在。

针对乌云的爆料，质疑声转向了“携程违反了银联此前禁止记录CVV的规定”。据记者了解，CVV即银行信用卡背后的三位验证码，在“无卡支付”环节，只需提供卡号及此三位验证码就可完成支付。

“携程在事件中有责任，信用卡CVV码不应该保存在本地平台。携程在付款过程中需要记录并转发给银行接口用户信息，但是记录日志，破坏了支付安全性。”旅游界资深人士爱游观察负责人郑荣锋向记者表示，相信此次事件对携程的品牌和信誉度已经造成影响，特别是长期以来对携程服务有依赖性的商旅客户。

作为敏感的隐私泄密事件，这次事故在微博和微信等社交平台产生了大量的转发传播。尤其近期传言国家将对互联网金融的发展作出限制，这次事件对于“支付宝们”不是好消息。

劲旅咨询CEO魏长仁亦分析指出，“这个事件肯定会影响消费者对携程的信任度。因为现在基本全部的机票款，部分酒店，旅游度假和其他更多类型产品都需要在线支付。这个事件一定会促使携程对用户信息安全问题更加重视。”

拷问OTA支付安全难题

“在线旅游行业应该是国内最早在机票、酒店领域实现信用卡预授权的行业，在支付宝和微信支付未流行起来之前，携程和艺龙作为在线旅游行业的代表，已经将线上支付通过信用卡的模式普及得非常优秀了。很多高端商旅用户都是因为携程和艺龙上具有便捷的信用卡支付功能，而使用它们的服务。事件会对这部分商旅用户群体产生比较大的影响。”郑荣锋指出。

在线旅游行业一资深合伙人向《每日经济新闻》记者透露，“实际上，OTA们对信息的安全是非常重视的，在我的观察里，不管是携程、去哪儿网还是艺龙，他们在数据保密方面还是做得很好的。”

“现在携程方面曝出用户（隐私）的泄露，也会对其他电子商务平台起到警示作用。OTA们应该迅速自查，避免类似的事件再次发生，影响消费者权益。”魏长仁说。