3月22日攜程出現重大安全漏洞，攜程安全支付日志可遍歷下載，導致大量用戶銀行卡信息泄露 (包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)。

[[110525]]

盡管漏洞僅持續了兩個多小時，不過事件引發的恐慌仍在持續。目前看來，該漏洞引發的擔憂和憤怒大大超過了漏洞造成的實際危害本身。

恐慌遠超實際影響

根據攜程官方的說法，目前并沒有監測到有用戶出現信用卡被盜刷現象，且該漏洞僅影響到了93名用戶，攜程已經通過電話通知用戶更換信用卡，并給予每人500元禮品卡作為補償。

同時攜程承諾若發生盜刷，攜程將賠償用戶損失。

國內頂級白帽安全團隊Keen Team的安全專家表示，被泄露的日志也并不像傳聞所說的不安全，在安全支付日志中被錯誤記錄的用戶敏感信息，包括信用卡號、信用卡有效期、信用卡CVV三位驗證碼是經過AES加密后存儲在安全日志中的。在加密密鑰沒有對外泄露的情況下，AES的加密強度足以抵御來自民間的解密嘗試，加密處理過的用戶信息在一定程度上還是得到保障的。

按照上述解釋，本次漏洞雖然聽上去驚悚，但是實際影響是：1、只有3月21-22日消費的93名用戶受影響;2、攜程將承擔用戶損失;3、被泄露的日志也很難被黑客利用。

不過用戶的負面情緒并沒有因為這些解釋而有所緩和，直到攜程發出解釋后，多家銀行的客服電話仍然被打爆，有用戶甚至憤怒得剪毀了綁定的銀行卡，有用戶在攜程官方微博中評論道，此事的重點不在于漏洞，而在于違法存儲用戶信息，而500元賠償的行為也被指避重就輕。

相比起實際損失，該事件引發的三大恐慌更為令人擔憂。

一、PCI DSS認證形同虛設?

PCI DSS即第三方支付行業(支付卡行業PCI)數據安全標準，該標準由VISA和MasterCard等機構牽頭制定，支付公司都會被要求通過這一安全認證。這一標準規定CVV、追蹤數據、磁條或PIN數據等特定信用卡信息不能被商戶保存。

攜程作為上市公司，在上市時應通過了這一安全認證，不過此次泄露的日志卻顯示攜程明文記錄了這些信息。

一名安全行業資深人士表示，PCI DSS含金量越來越低，通過認證后去把標準認真落地的公司越來越少，通過PCI DSS更像是花錢買了一個牌照，并不說明任何問題。

這一說法影射了整個支付安全行業的安全問題——這次暴露問題的是攜程，其他通過PCI DSS標準的公司甚至上市公司是否存在同樣的問題?用戶的信用卡敏感信息被多少公司記錄著?下一家會是誰?

若PCI DSS標準缺乏管束力，通過這一標準并不意味著安全，那么其他與支付業務直接相關的公司也將受到一定的信任危機。

二、給央行扼殺在線支付提供口實?

此次攜程漏洞出現的時間相當微妙，就在本月央行緊急發文暫停線下二維碼支付、虛擬信用卡等面對面支付服務，盡管央行的說法是出于安全考慮，不過更多人愿意相信是移動支付動了銀聯的奶酪。

而攜程這一漏洞的出現恰逢其時地證明了在線支付的風險，有相關技術人士透露，此次泄露是因為無線部門在手機APP調試過程中保存了日志并在Web.config開了目錄遍歷，也就是說問題出在移動端，所以客觀上這一事件的發生可以給央行封殺移動支付提供口實。

盡管這一說法有陰謀論嫌疑，不過兩起本無關聯的事件引發的用戶擔憂或影響到移動支付本身的發展。

三、綁定信用卡危機?

盡管此前就有用戶擔憂過在移動支付產品中綁定銀行卡或信用卡是否存在安全風險，不過由于騰訊和阿里的大力推進，用戶的這一疑慮正在消除。

事實上微信支付和支付寶也并未發生過用戶銀行卡信息大規模泄露事件，此前央視對支付寶的質疑在支付寶數次回應后影響力也逐漸被抵消。

不過這次攜程的漏洞直接牽涉到了用戶的銀行卡安全，《風聲》的導演高群書發微博稱“堅持不用網銀，不綁定信用卡，是十分正確的。”

相對于已經習慣在線支付和移動支付的用戶，此前不敢嘗試或抱猶豫態度的用戶是受到這一影響的主要人群，攜程的事件給了他們足夠的理由拒絕綁定信用卡或使用在線支付。

總而言之，攜程此次漏洞事件本身的危害其實相當有限，而媒體大規模曝光、用戶的廣泛傳播引發的恐慌以及連帶效應遠遠超過了這一事件本身，事件持續僅兩個小時，而要消除影響需要的時間則遠不止兩個月。(顧曉波)