分享至好友和朋友圈

专家认为，携程存储用户敏感信息CVV码的行为，违背了银联的相关规定，但携程应承担何种责任却不明确，后续处罚也难以跟进。

“乌云”压“程”，“程”欲摧。

近日，国内漏洞研究机构乌云平台曝光称，携程旅行网(以下简称“携程”)存在信息安全漏洞，可能导致其信用卡用户的身份证、卡号、CVV码等多项个人隐私信息的泄露，一时间引发众多用户对携程安全体系的强烈质疑。

据了解，所谓CVV码，即Card Verification Value，是印在信用卡上的一组验证码，通常是由卡号、有效期和服务约束代码生成的3位或4位数字。

“CVV码是作为网络无卡交易时的一种验证码，一旦泄露出去将给持卡人带来很大的安全风险。”信用卡门户网站我爱卡网增值业务部总监董峥告诉法治周末记者。

携程华北区公共事务部工作人员闫鑫在接受法治周末记者采访时表示，携程将在交易完成后删除客户的CVV信息，不再保存。以前保存的那些CVV信息，正在予以删除。

携程此前也发布公告称：“我们将会按照监管部门的要求，尽快优化完善用户的支付流程，排查所有可能存在漏洞，邀请国内知名网络安全专家对携程系统进行会诊。同时，我们已经启动了CFCA和PCI的认证程序，以期更好地符合监管要求。”

不过，携程CVV码安全漏洞事件所带来的魔咒似乎并没有因此得以完全解开，一系列相关的质疑仍在不断涌现——携程为何要存储用户的CVV码？这一做法是否合规？CVV码一旦泄露将给用户带来哪些损失？

携程为何存储用户CVV码

关于携程安全漏洞的报告，由网友猪猪侠发布在乌云平台上。

该报告指出，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。

同时因为保存支付日志的服务器未做严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意黑客读取。

这些信息包括用户的持卡人姓名、持卡人身份证、所持银行卡类别(如招商银行信用卡等)、所持银行卡卡号、所持银行卡CVV码、所持银行卡6位Bin(用于验证支付信息的6位数字)。

猪猪侠在微博回复法治周末记者采访时表示，目前其个人并不方便对该事件进行评论。

携程发布公告称，携程在发现问题后立即展开技术排查，并在两小时内修复漏洞。

携程在公告中表示，经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。

在这个安全漏洞被曝光的同时，携程保存用户CVV码等重要个人信息的行为也渐渐浮出水面。