3月份，烏云漏洞報告平臺公布的最新漏洞稱，攜程安全支付日志可遍歷下載，導(dǎo)致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)。烏云網(wǎng)稱已將細(xì)節(jié)通知廠商并且等待廠商處理中。此外，攜程還被曝攜程某分站源代碼包可直接下載。

[[115658]]

在這件事情的余波尚未完全過去的時候，烏云再度曝光了攜程網(wǎng)的漏洞，這次依然和信用卡有關(guān)。

按照烏云漏洞報告平臺的說法，該漏洞為“攜程安全支付存在安全隱患”，只需要信用卡日期和卡號就可進(jìn)行消費，漏洞發(fā)現(xiàn)日期為7月7日。

從漏洞發(fā)現(xiàn)者的實際演示來看，只需在支付時填寫一個合法的信用卡卡號，并填好有效期，攜程即可扣款成功。如果真的是這樣的話，那么用戶的信用卡很可能會遭遇盜刷等問題。

隨后漏洞的發(fā)現(xiàn)者聯(lián)系了攜程官方，但攜程表示該漏洞為“誤報”，官方選擇忽略，具體回應(yīng)如下。

您好：

經(jīng)過與您的溝通與確認(rèn)，此問題為誤報。

在攜程信用卡支付過程中，不同的銀行和支付渠道會要求提交不同的支付信息，有的銀行只需要卡號和有效期就可以完成支付，而不需要其他繁瑣的驗證，其支付風(fēng)控措改由后端完成，表面上用戶“簡單”了，但是控制措施會從其他方面彌補，總體安全性并無減弱。

另外，使用偽卡或盜用其他人的卡片信息進(jìn)行支付是違法行為，攜程旅行網(wǎng)提醒用戶妥善保管好自己的信用卡信息，以免影響用卡安全。攜程旅行網(wǎng)已經(jīng)通過了PCI認(rèn)證，將與銀行會對此類行為加強風(fēng)控管控，攜手銀行一起為用戶提供更安全與便捷的支付體驗。

我們對此漏洞選擇了忽略，攜程旅行網(wǎng)非常重視各類安全問題，如有疑問請隨時與我們聯(lián)系，感謝支持與反饋!