2014年3月22日18:18，烏云(Woo Yun)漏洞平臺發布消息稱：“攜程將用于處理用戶支付的服務接口開啟了調試功能，使部分向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務器，有可能被黑客所讀取。”

烏云方面的報告稱，漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼(即卡號、有效期和服務約束代碼生成的3位或4位數字)以及銀行卡6位Bin(用于支付的6位數字)，上述信息有可能被黑客所讀取。 

該報告全文如下:

針對此漏洞，當天23:22分，攜程回復，攜程技術人員已經確認該漏洞，并經攜程排查，僅漏洞發現人做了測試下載，內容含有極少量加密卡號信息，共涉及93名存在潛在風險的攜程用戶。攜程客服于今日(3月23日)通知相關用戶更換信用卡，銀行方面也會盡快協助用戶辦理換卡手續。

雖然攜程官方申請該事件沒有造成大面積的信息泄露，但我們不放從探討一下漏洞通過怎樣出現的呢?

當我們在攜程網訂購買酒店、機票時，需要提供個人信息和支付信息，通過攜程的安全支付系統完成支付。攜程的這個安全支付系統設置了調試的功能，會在支付的同時將用戶的支付信息作為日志保存在服務器上。但問題出現在這里，攜程并沒有對這些日志進行有加密，全部是容易辨識的明文。此外，存儲這些日志的服務器還存在“目錄遍歷漏洞”，這是一種被歸類為“敏感信息泄露”的漏洞。利用這個漏洞，黑客可以輕易的繞過服務器認證，獲取日志服務器上的目錄信息，甚至可以通過構造URL直接讀取日志服務器上的文件。黑客竊取用戶信用卡信息的過程可能包含以下幾個階段：

分析泄露出來的攜程源代碼，發現支付服務器上的用戶銀行卡信息日志沒有加密。

通過各種手段(社會工程學手段或黑客工具)獲取到支付服務器的IP地址，鎖定攻擊目標。

利用黑客工具掃描日志服務器，發現其存在“目錄遍歷漏洞”;

通過“目錄遍歷漏洞”找到日志文件位置;

構造URL讀取明文的日志信息。

不該存的存了，存儲了還沒有加密，沒有加密還不及時刪除，這是攜程網安全系統中犯的最大錯誤，事件曝光之后在社交媒體上引起軒然大波。使用過攜程服務的網友紛紛表示要更換信用卡，并吐槽說各大銀行的服務電話都被打爆了，等待超過20分鐘無人接聽。

科技讓我們更強大，也更脆弱。作為面向公眾服務的電商，應更加注重網絡安全建設。