對于攜程此次漏洞事件，銀聯(lián)方面表示，“從目前披露的情況看，攜程方面可能存在一些瑕疵”。

[[110464]]

3月22日晚，烏云漏洞平臺報告指出，攜程將用于處理用戶支付的服務接口開啟了調(diào)試功能，使所有向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務器。“同時因為保存支付日志的服務器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調(diào)試信息可被任意駭客讀取”。

據(jù)該報告，攜程安全支付日志可遍歷下載，導致大量用戶銀行卡信息泄露，包含持卡人姓名、身份證、銀行卡號、卡CVV碼(卡號、有效期和服務約束代碼生成的3位或4位數(shù)字)、卡6位Bin碼(用于支付的6位數(shù)字)。

對此，攜程及時回應稱，這是在技術調(diào)試過程中出現(xiàn)了短時漏洞，攜程在兩小時內(nèi)修復了這個漏洞;攜程強調(diào)此次漏洞共涉及93名存在潛在風險的用戶，客服已于今日(23日)通知相關用戶更換信用卡;攜程還承諾，未來如果因安全漏洞引起用戶損失，將承擔全部責任并給予賠付。

但是，該漏洞事件顯示，攜程將用戶的姓名、身份證、銀行卡號、卡CVV碼、卡6位Bin碼做了存儲。

根據(jù)中國人民銀行發(fā)布的《銀行卡收單業(yè)務管理辦法》第28條規(guī)定，收單機構不得以任何方式存儲銀行卡磁道信息或芯片信息、卡片驗證碼、卡片有效期、個人標識碼等敏感信息。并應采取有效措施防止特約商戶和外包服務機構存儲銀行卡敏感信息。

此外，銀聯(lián)2008年出臺的《銀聯(lián)卡收單機構賬戶信息安全管理標準》顯示，銀行卡受理終端僅限于保存當前交易批次內(nèi)用于交易清分所必需的基本信息要素，并在該批次結束后及時予以清除;各類受理終端均不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼、卡片有效期等敏感賬戶信息。

“從目前披露的情況看，攜程方面可能存在一些瑕疵”，銀聯(lián)風險管理專家王宇對此聲稱，我們一直在積極推動相關機構嚴格落實相關要求，商戶及收單機構不能留存持卡人的敏感信息，同時也要采取多種措施提升交易環(huán)節(jié)的信息安全管理。(劉寶興)