可能很多朋友比較關心3月22日烏云爆出的攜程信用卡信息泄露的漏洞。具體過程我就不贅述了，因為明天肯定是鋪天蓋地的新聞。這次的事件很多評論文章都沒有提到PCI-DSS標準，其實通過這個簡單的維度就可以判斷哪篇評論靠譜，哪篇不靠譜。PCI-DSS是「第三方支付行業數據安全標準」，由VISA與MasterCard牽頭制定。凡是要做第三方支付業務，想在美國上市，必須要過這個標準。而在PCI-DSS標準中，明確的定義了如何實施數據保護，以及哪些信息是可以保存，哪些信息是不能保存(尤其是明文保存)的(比如CVV等敏感信息)。因此攜程這次是明確的違反了PCI-DSS的相關規定。

[[110428]]

因為攜程在上市的時候肯定是通過了PCI-DSS標準的，由此也可以看出一些安全標準從實施到維持是何等的艱難。而「安全標準」、「合規」的要求現在已經淪落為一門生意，含金量越來越低。實施PCI-DSS的安全公司可能會給客戶提交一大堆文檔，但真正認真去落地的公司越來越少了。所以通過了安全標準并不意味著什么，只是花錢買了個牌照而已。比如PCI-DSS的要求會產生很多衍生的安全需求，而VISA也投了一些安全公司，他們把這里面的大部分利益給分了。在利益關聯之下，對認證的審核必然不會太過嚴格。

這次的事件按照攜程官方的解釋是出于調試的目的記錄了臨時日志，共涉及到93名用戶，未發現其他數據泄露。我相信這個漏洞的提交者「豬豬俠」并不會將這部分數據用于惡意用途，因為他在業內的口碑非常好，且如果想這么干，就不會把漏洞提交給烏云了。但攜程是否還存在其他問題卻不得而知。

對于用戶而言，可能會產生恐慌心理而要求銀行更換信用卡。但除非你以后不再用網上信用卡支付了，否則類似的問題短期內還是很難避免。我相信還有很多公司比攜程做的更糟糕，更缺乏規范，特別是一些還沒有上市，沒有通過PCI-DSS認證的公司，只是這些問題沒有被暴露在陽光下，因此你不知道而已。

對攜程來說，這次的事件與其說是技術上的漏洞，不如說是信譽上的危機。同時也讓我們看到了安全的重要性：建立用戶信任可能需要若干年，毀掉它卻只需要一天。