在预订成功后，数据是如何“保存”下来的呢？其实相关数据此时已在预订后台被删掉，进入到另一个加密的信息储存库（非VCC）中，以便用户日后预订时调出。“携程这次的数据泄露事件，不是信息储存库里的数据泄露了。而是因为携程技术人员将用于处理用户支付的服务接口开启了调试功能，也就是说对预订后台的部分数据解密（包括CVV）进行排查技术上的问题，本来这些数据应该下载到本地日志服务器中（安全性极强，外界无法访问），但这些数据却被放在Web服务器中，可以说是不应该发生的低级错误。”该资深技术人士说。

提醒

不要在不信任网站填写核心信息

“中国黑客教父”龚蔚表示，携程的本次系统漏洞是由一些小漏洞构成的，单看每一个小漏洞都不严重，但联在一起就变成了“安全事故”。

“事实上，（网站存储）CVV信息是强加密的，即便是黑客也不一定能破解。”龚蔚说，“黑客在盗取此类信息时需要满足三个条件：加密码可破解、长期记录、漏洞没有修复。”

龚蔚表示，第三方支付机构为了能够记录、追踪、调试用户的购买环节，会在程序运行过程中记录用户的个人信息，这是正当行为，但是这样的信息不是每个人都能看到，而且需要加密。一般调试过程都是在虚拟的条件下完成的，并在开发或调试完成之后、上线之前检查所有数据端口是否关闭。

“在线填写的个人信息并不是都加密的，像姓名、身份证号就是明文，银行卡号、CVV码就会强加密。”龚蔚说，“之所以一部分个人信息不加密，是出于资源使用效率和用户体验的考虑，加密要消耗系统资源，并且还需要解密、还原的过程，这样使用起来程序繁多、速度很慢。”

龚蔚建议，企业一定要有安全意识，不能忽略小漏洞。而作为消费者，在选择购买支付网站、填写个人信息时一定要谨慎。“当提交含有身份证号、银行卡号、密码等核心个人信息时，一定不要提交给不信任的网站。一般来说，知名的大网站技术相对成熟，不会出现黑客在网站中直接加入代码，获取用户信息的现象。而诸如小的代购网站，安全性就降低很多。”

此外，龚蔚表示，除非必要，否则不要使用真实的身份，能使用虚拟身份就尽量使用，这样可以减少个人信息泄露。“在网上支付的时候一定要慎重，最好给银行卡设置网购限额、支付短信通知等安全等级保护，一旦银行卡被盗用，可以立刻发现，减少损失。”

建议

监管部门需强力介入

尽管携程网及时回应了公众质疑，但公众的担忧似乎并未消减。广州一家外贸公司的陈小姐是携程网的忠实用户：“携程网承诺，未来如果因安全漏洞引起用户损失，将承担全部责任并给予赔付。如何界定损失，企业说了算吗？”陈小姐很疑惑。

公开信息显示，到事发为止所有的调查和损失认定工作均由携程网一方进行，并未引入第三方监管机构。业内分析人士坦言，目前国内还没有相关立法对第三方支付机构获取用户信息进行规范管理。

此次携程泄露用户信息反映出在线支付行业不仅要加强行业自律、更需要监管部门强力介入，亟待通过出台明文法规、进行合规性、合法性检查的方式将在线支付纳入到行业监管的大局之下。

中央财经大学银行研究中心主任郭田勇认为，携程泄露用户信息事件暴露出部分第三方支付机构风险管理存在隐患，建议有关部门尽快出台保护个人隐私的法律法规，同时对泄露客户信息的机构进行处罚，严把第三方支付的“安全阀”。