携程系统技术存漏洞 股价一度跌进10%

        3月22日，乌云漏洞平台发布报告称，携程系统存技术漏洞，黑客可从中获取用户个人信息、银行卡号等信息。随后，携程承认了漏洞的存在。受漏洞门事件影响，携程股价昨日盘前一度跌近10%。

　　携程未主动保存用户CVV码，相关信息的加密强度足以抵御民间的解密尝试。

　　3月22日18时许，乌云漏洞平台发布消息称，携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。

　　乌云报告称，漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码（即卡号、有效期和服务约束代码生成的3位或4位数字）以及银行卡6位Bin(用于支付的6位数字)，有可能被黑客所读取。

　　携程表示，已在22日当天进行技术排查，并在报告发布后的两小时内修复了这个漏洞。经查，携程的技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。

　　对此，国内某大型在线旅游服务商技术工程师告诉新京报记者，各个互联网公司在处理用户的交易时，都需要用户提交个人支付信息，但需要对信息加密以保证安全。存有这些信息的交易日志，会短期停留于公司系统中，在处理完相关交易后，系统会删除这些信息。如果开发人员需要调取测试等，他们看到的数据也是加密过的，并不是直接看到用户姓名、卡号、密码等。

　　即使通过PCI DSS认证也做不到100%的绝对安全，“但至少体现了一种态度”。

　　在漏洞门之后，“PCI DSS”认证成为舆论热词，众多网友和媒体质疑携程，并没有经过“PCI DSS”认证，意味着携程不安全。
 

　　不少意见认为，用户应尽快换卡。已有部分公司要求停用携程进行出差预订。

　　在漏洞门发生之后，虽然携程称只有93名用户存在潜在风险，同时也承诺赔付，但众多网友表示准备换卡或者已经换卡。

　
　　目前不少业内相关人士的意见认为，携程用户应尽快换卡。

　　如果用户信息泄露，企业负有赔偿责任。但是损失需要用户出具证明。

　　携程表示，未来如果因安全漏洞引起用户损失，携程将承担全部责任并给予赔付。

　　而携程的股票也因此受影响。
 

相关阅读：