携程被曝存“支付漏洞” 93名用户已被通知换卡(3)

　　携程存储用户cvv码做法遭普遍质疑

　　而根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。而携程的日志中存储的信息已经超过了这一标准的允许范围。其中，银行的cvv码被认为是无卡购物的最后一道防线，信息一旦遭到窃取，足以被用于信用卡盗刷，携程存储用户cvv码的做法遭到了普遍的质疑。

　　360首席隐私官谭晓生：他作为卡的验证手段，可以让用户输入，输入完了之后，他应该找相应的卡中心，来进行验证，在整个交易过程中，这个数据是不应该做持久化存储的，就不应该存下来，他可以用，但不能存。

　　对此，携程旅行网后台的一位工作人员这样解释。

　　携程工作人员：我们是一个网络支付平台，作为一个支付平台，需要cvv码来进行验证的，当然我们也需要客户告诉我，我们才进行验证。

　　记者：(存储cvv码)这算是违规么？

　　携程工作人员：这个具体的话，我们目前来说我们没有接到这方面的反馈。

　　记者：之后你们还会记录这个cvv码么？

　　携程工作人员：最后我们会根据这个事情给所有的公众一个答复，目前，我们的系统也正在排查问题，到底是因为什么导致的这样一个情况。所以最终我们还会有一个官方回复，并不是说这个事情就这样结束了。

　　如今，网上消费网上支付已经深入亿万用户的生活。随着用户群的爆炸性增长，网络支付、移动支付成为了越来越多人选择的支付手段。而互联网支付的安全问题也更加受到关注。面对越来越普遍，越来越多样的网上支付手段，用户的信息安全又该如何保证？

　　作为综合性的旅行服务公司，携程网主要提供包括无线应用、酒店预订、机票预订、旅游度假、商旅管理及旅游资讯在内的旅行项目，有超过1.4亿的会员用户。这次被曝出支付漏洞，尤其是记录了包括信用卡cvv码在内的隐私信息，引发了不少人对于网上支付安全的担忧。

　　谭晓生：他这个洞其实是两个洞，比如说他的日志从外部可以读取的洞，我相信肯定是补了，但是他存cvv码这样的事情，内部是不是处理我们现在不得而知，这其实是很危险的。