携程被曝保存信用卡关键信息 业内称储存正常支付信息不易泄密

　　CVV码泄露 信用卡易遭盗刷

　　法制晚报讯(记者 仝璇)近日，漏洞报告平台乌云网发布公告指出，携程旅行网的安全支付日志可下载，其中有大量用户银行卡信息，包括持卡人姓名、身份证号、银行卡号、CVV码等，均有可能被黑客读取。这一消息曝出后，随即引发消费者对众多电商网站上保存的银行卡信息安全性的担忧。

　　3月22日，漏洞报告平台乌云网连续披露了两个携程网安全漏洞。漏洞发现者称，由于携程开启了用户支付服务接口的调试功能，导致携程安全支付日志可被任意读取，日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。

　　在该漏洞被曝出后，部分携程用户表示对信用卡做了挂失处理，一些用户则称直接选择更换卡片。对此，携程方面表示，漏洞共涉及93名存在潜在风险的用户，目前相关数据已全部删除，公司客服也开始通知用户更换信用卡，并将负责全部损失费用。

　　据一名银行业内人士介绍，所谓的CVV码，是指印在信用卡卡片上的一组检查码，它是进行网络和电话交易时的安全保障，属于高度机密的用户信息。

　　“在离线交易模式下，只要掌握信用卡卡号、有效期、卡背上的3位CVV安全码等便可以完成交易，整个消费过程中不需要通过任何密码认证。”上述人士表示，CVV码一旦泄露，会给用户的资金安全带来很大的盗刷风险。

　　追访  存储普通支付信息 泄密风险并不大

　　如今电子消费越来越多，大家经常会在各种电商网站绑定信用卡或银行卡以方便下次使用，这其中是否也存在泄密风险？

　　记者上午在淘宝、易迅、苏宁易购[微博]三家电商进行体验发现，这些电商网站保存用户的支付信息之前，都会获得用户授权，且在保存支付信息的页面，卡片会以“常用卡”为名称显示，具体显示内容包括银行卡的后四位数及卡片归属行，但并未出现CVV码。

　　某电商网站负责人告诉记者，按照中国银联的规定，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期，因此正常的支付信息储存并不违规。

　　“携程在日志中存储的CVV码等信息，超过银联的允许范围，因此出现违规。”该负责人表示，携程出现信用卡信息泄露，主要是由于该网站将用于处理用户支付的服务接口开启了调试功能，“这使得所有向银行验证持卡所有者接口传输的数据包，均直接保存在本地服务器。”

　　上述负责人表示，目前大多数电商都选择将支付信息保存在本地服务器，且会对支付日志等信息做定期的清理，“在网站上正常储存支付信息，只是用于下次消费时方便支付，通常来说不会引发信息泄露问题。”