93名客户信息疑遭泄露 部分携程用户剪掉银行卡

　　刚过去的周末，携程经历了一次“漏洞门”事件，多名用户隐私信息被曝可能遭到泄露。虽然事后携程立刻修复了这一漏洞，但仍未打消用户隐忧。记者注意到，一些携程用户随即将关联信用卡进行了剪卡报废处理。

　　事件：93名客户信息疑遭泄露

　　3月22日晚间，一片“乌云”笼罩携程。一个编号为54302的漏洞报告，被曝光在互联网安全问题反馈平台乌云之上。乌云平台指出，携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露，其中包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。

　　被曝光后，携程方面承认漏洞存在，表示其已立刻展开技术排查，并在2小时内修复了这个漏洞。经查，携程的技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。

　　排查结果显示，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。3月22日晚至23日，携程已通知存在潜在风险的93名用户更换信用卡，银行方面也会尽快协助用户办理换卡手续。此外，携程旅行网给予这93名用户每人500元任我行礼品卡作为补偿。经各银行反馈，截至目前，没有发生携程用户信用卡被盗刷的情况。

　　技术专家：或因无线研发推进过快导致

　　据相关技术专家透露，携程此次用户信息泄露事件，可能是无线研发推进过快而变相导致的。因为携程的安全漏洞，不是在Web网页上的漏洞导致，而是无线部门在手机APP产品调试过程中，保存了日志并在Web.config 开了目录遍历才出的状况。利用目录遍历攻击漏洞，攻击者能够超过服务器的根目录，从而访问到文件系统的其他部分，访问受限制文件、资源，或者采取更危险行为。

　　携程：若因安全漏洞有损失将赔付

　　今天上午携程网接受记者采访时回复称，没有接到携程客服换卡通知的用户，个人信息均是安全的，无需担心。为防电话诈骗，请留意携程客服联络呼出电话号码：021-51069999；021-51012299。携程承诺，未来如果因安全漏洞引起用户损失，携程将承担全部责任并给予赔付。不过，这仍未消除消费者的疑虑。记者注意到，微信朋友圈有几位朋友展示了被剪毁的银行卡，一位从事IT工作的网友表示：“虽然有漏洞不等于泄露，泄露不等于被盗刷，但信息一旦泄露被黑客存档就是持续的，黑客可以关联作案。”

　　律师：用户可保留证据索赔

　　虽然携程方面承诺对“未来”负责，但仍有一些网友表示担心：在线支付如果被盗卡，发生实际损失时如何证明与商家漏洞有关，又如何维权？

　　威诺律师事务所主任杨兆全上午接受本报记者采访时指出，携程记录用户CVV码等信息已经是对用户侵权。根据中国银联支付结算规则，商家不得记录和保存客户信用卡CVV号等敏感信息，但一些商家并未执行这个规定。保存这些信息，会存在内部人员盗取以及外部黑客攻击风险。

　　另外，杨兆全律师指出，携程称用户发生损失全赔，就是一种承诺，具有法律效力。如果用户发生损失，法律会根据消费者损失是否与携程数据泄露时间上相关性进行确定，技术上没有障碍。如果消费者发生在线支付被盗卡，应该及时向公安机关报案并向发卡银行报告，并提供和保存证据。如果与网站有关，可要求索赔。

　　本报记者孟环 傅洋J004 J147