對(duì)于攜程此次漏洞事件，銀聯(lián)方面表示，“從目前披露的情況看，攜程方面可能存在一些瑕疵”。

[[110464]]

3月22日晚，烏云漏洞平臺(tái)報(bào)告指出，攜程將用于處理用戶(hù)支付的服務(wù)接口開(kāi)啟了調(diào)試功能，使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。“同時(shí)因?yàn)楸４嬷Ц度罩镜姆?wù)器未做校嚴(yán)格的基線(xiàn)安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過(guò)程中的調(diào)試信息可被任意駭客讀取”。

據(jù)該報(bào)告，攜程安全支付日志可遍歷下載，導(dǎo)致大量用戶(hù)銀行卡信息泄露，包含持卡人姓名、身份證、銀行卡號(hào)、卡CVV碼(卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)、卡6位Bin碼(用于支付的6位數(shù)字)。

對(duì)此，攜程及時(shí)回應(yīng)稱(chēng)，這是在技術(shù)調(diào)試過(guò)程中出現(xiàn)了短時(shí)漏洞，攜程在兩小時(shí)內(nèi)修復(fù)了這個(gè)漏洞;攜程強(qiáng)調(diào)此次漏洞共涉及93名存在潛在風(fēng)險(xiǎn)的用戶(hù)，客服已于今日(23日)通知相關(guān)用戶(hù)更換信用卡;攜程還承諾，未來(lái)如果因安全漏洞引起用戶(hù)損失，將承擔(dān)全部責(zé)任并給予賠付。

但是，該漏洞事件顯示，攜程將用戶(hù)的姓名、身份證、銀行卡號(hào)、卡CVV碼、卡6位Bin碼做了存儲(chǔ)。

根據(jù)中國(guó)人民銀行發(fā)布的《銀行卡收單業(yè)務(wù)管理辦法》第28條規(guī)定，收單機(jī)構(gòu)不得以任何方式存儲(chǔ)銀行卡磁道信息或芯片信息、卡片驗(yàn)證碼、卡片有效期、個(gè)人標(biāo)識(shí)碼等敏感信息。并應(yīng)采取有效措施防止特約商戶(hù)和外包服務(wù)機(jī)構(gòu)存儲(chǔ)銀行卡敏感信息。

此外，銀聯(lián)2008年出臺(tái)的《銀聯(lián)卡收單機(jī)構(gòu)賬戶(hù)信息安全管理標(biāo)準(zhǔn)》顯示，銀行卡受理終端僅限于保存當(dāng)前交易批次內(nèi)用于交易清分所必需的基本信息要素，并在該批次結(jié)束后及時(shí)予以清除;各類(lèi)受理終端均不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼、卡片有效期等敏感賬戶(hù)信息。

“從目前披露的情況看，攜程方面可能存在一些瑕疵”，銀聯(lián)風(fēng)險(xiǎn)管理專(zhuān)家王宇對(duì)此聲稱(chēng)，我們一直在積極推動(dòng)相關(guān)機(jī)構(gòu)嚴(yán)格落實(shí)相關(guān)要求，商戶(hù)及收單機(jī)構(gòu)不能留存持卡人的敏感信息，同時(shí)也要采取多種措施提升交易環(huán)節(jié)的信息安全管理。(劉寶興)