携程银行用户信息是怎么泄露的？-国土报中文版

本篇文章2163字，读完约5分钟

携程的一些同行告诉柴柴。携程在无线方面并不十分安全。虽然这种方法便于用户操作，但也存在一定的安全隐患。携程内部人士告诉新浪科技，这是一个“意外”的安全事件，携程并不打算保存用户的相关信息。当这类问题发生时，携程也感到难以理解。

用户更加难以理解。这个漏洞泄露的信息意味着用户银行卡的几乎所有信息都被暴露了。有了这些信息，信用卡就很容易被盗。

上周末，携程遇到了大麻烦，暴露在安全支付日志的漏洞中，导致用户信用卡信息可能被泄露。

据漏洞提交者五云平台介绍，携程开通了用户支付处理服务界面的调试功能，所有传输到银行界面验证持卡人的数据包都直接存储在本地服务器上。同时，由于保存支付日志的服务器没有严格的基线安全配置，因此存在目录遍历漏洞，导致所有支付过程中的调试信息被任何黑客读取。这些信息包括持卡人的姓名、身份证、银行卡类型、银行卡号码、cvv代码和6位数字箱。

携程银行用户信息是怎么泄露的？

漏洞解释一般理解为携程在本地保存银行卡数据包，支付日志中存在安全漏洞，数据信息可以被陌生人下载。

有两个疑问:为什么携程要保存用户的银行卡信息？为什么支付日志有安全漏洞？

作为回应，携程解释说，技术开发人员留下了一个临时日志，以便检查系统问题，由于疏忽，没有及时删除。但对于第一个问题，携程没有给出解释。

携程无法解释更多，因为携程多年来一直在默默地做这件事。这里必须公平地说，携程并没有做什么坏事，相反，它通过模仿国外信用卡支付方式简化了支付流程。然而，这种做法在中国必然是一种擦边球，因为根据银联的规定，接收终端不得存储银行卡的跟踪信息、卡验证码、个人识别码(pin)以及卡的有效期。

早在2010年，携程就与多家银行就无卡支付服务(简称“cnp(卡不存在)”交易)达成协议。根据协议，如果用户的信用卡是第一次在携程网上使用，客户需要在支付生效前提供信用卡授权所需的所有信息。如果客户在携程网上使用了此信用卡。并同意携程。为了方便下次预订，携程网应保留其信用卡号、到期日等信息。在进行下一次预订时，只需提供存储的信用卡号的最后4位数字。com将根据系统中最初保存的信用卡授权信息执行支付步骤；出于安全原因，携程将要求客户提供额外的cvv代码进行验证。

携程银行用户信息是怎么泄露的？

这种支付方式类似于亚马逊的“一键式支付”。用户第一次使用时只需将信用卡信息绑定到亚马逊账户，然后就可以直接购买和支付，无需输入密码。一键式支付有自己的安全验证系统，其中一个重要的方法是匹配接收地址，也就是说，如果有人窃取你的信用卡信息进行购买，最终的商品仍然会发送给你，否则他必须在更改地址时重新提交信用卡信息。

携程银行用户信息是怎么泄露的？

回到携程网，因为机票和假期等产品都是实名产品，如果携程网的信用卡被盗，可以直接追溯到实际消费者。

支付方式只需要信用卡号、截止日期等信息，不需要密码，在国外非常普遍。例如，在您购买了hulu的每月订阅服务后，您甚至不需要每次都确认付款，hulu每个月都会自动从您的信用卡中扣款。

然而，中国信用卡的使用环境和习惯与国外有很大不同，所以携程这种无卡支付方式受到用户和媒体的质疑并不新鲜。例如，2010年，《长江商报》报道说Ctrip.com真的很邪恶！门票可以不用密码用信用卡预订。2013年，东南网报道称携程可以不用密码用信用卡支付。用户质疑安全性。2014年，中国网络报道称携程涉嫌存储有泄露风险的用户信用卡信息。携程对提问的解释始终“符合国际惯例”，并且“客户信用卡信息的传输和存储始终处于加密状态”。

携程银行用户信息是怎么泄露的？

没错，根据携程的解释，尽管玩的是边缘球，但在过去的几年里，直到上周末，它一直是和平的。即使携程按照国际惯例使用无卡支付服务是可以理解的，但由于其自身的漏洞而暴露用户信息也是不可原谅的。根据冯大辉的流言，该漏洞是由携程的无线部门在调试移动应用产品时保存日志和遍历web.config中的目录造成的。它是否过于急于开发无线产品？

携程银行用户信息是怎么泄露的？