携程的漏洞与补丁-科技频道-金鱼财经网

漫画/李宏宇

“PCIDSS”、“CVV”等专业范畴忽然刷屏，金融专家、信息牛人纷纷上场舌战。在一场用词“高大上”的斥责和声讨中，我辈草民只认清了一件事：常用来买机票、订宾馆的那个叫携程的网站出现了严重漏洞— 你的信息可能泄露，你绑定的银行卡可能被盗刷。

3月22日，漏洞报告平台乌云网发布了一条网络安全漏洞信息，指携程旅行网支付日志存在重大漏洞，或导致大量用户银行卡信息泄露，这些信息包括持卡人姓名、卡主身份证号码、银行卡号、所持银行卡类别、CVV码、用于支付的6位数字等。对此，携程在声明中称，公司已经展开技术排查，并在两小时内修复了这个漏洞。

个人信息的泄露对中国老百姓而言已是家常便饭，但一般个人信息无非是提供了垃圾信息和广告电话的目标群，其被操作的可能还相当有限。但金融信息的泄露显然不和前者在同一个层次上，两天之间，恐慌开始在携程用户间传递和酝酿。

众多用户解除绑定、停卡换卡，部分公司停用携程进行出差预订。《新京报》3月25日的报道描述了这种用户恐慌：“招商银行(600036,股吧)的电话都被打爆了，银行客服在听到"携程"后，做出了"非常熟练而流利的回应"。”微博实名认证为广西易搜科技有限公司CEO的严茂军的个人体验则显得更有说服力：“早在2月25日就致电过携程我绑定携程的几张信用卡被盗刷十几笔外币的事件，当时他们回复系统安全正常。”

事前是违规还是失责还未有定论，但随后，“只涉及到93名用户”的解释、“每人赔偿500元礼品卡”的善后，却得到了众口一词的批评。或许携程并非发自本心的“没诚意”，但它轻飘的定性事实上构成了对用户恐慌的反讽，也回避了那些对此次泄露事件的深度解读。

作为携程用户和解读者，《杭州日报》评论员顾昀的问题具体且有力：“既然仅涉及93名存在潜在风险用户，携程为何还要等到23日22时才能确认用户信息安全？我看到携程声明的时间是23日20时左右，也就是离上述时间还有两小时。那么在这段时间内，携程是在修补漏洞，还是在等待更多的用户风险报告？没有把握漏洞已完全修复，携程何以承诺"个人信息均是安全的，无需担心"？如果对事情本身都不能做到实事求是，用户又怎么能够相信携程的安全承诺？”

与《杭州日报》评论“携程伤害了我，别一笑而过”的基调相同，3月24日的光明网评论员文章也怒发一问：谁来处罚携程违规留存客户银行信息？“从漏洞报告平台乌云网发布的携程旅行网支付日志的重大漏洞看，携程在其日常经营中，全面违反了中国银联风险管理委员会发布的《银联卡收单机构账户信息安全管理标准》，其日志中存储的客户信息已经大大超过了该标准的允许范围。”在这个前提下，“500元礼品卡”的补偿如同小玩闹，“相关监管部门必须对携程已有和既存的违规行为做出严厉处罚，责令其删除超规定范围存留的客户银行信息，并监管其在日后的经营活动中守法合规。”

在就事论事厘清责任、维护客户权益之外，携程漏洞一事显然还有在更宏观的视野下解读的可能。事实上，在信息泄露持续发生、网络支付与传统金融管理屡生冲突的背景下，舆论场上需要这样一个兼具“互联网金融”和“信息安全”特点的典型事件，来打通多个热门话题。

《南方都市报》25日的评论指出了携程一事之所以是非暧昧的原因：“之前，有媒体对携程网储存用户信用卡信息的做法提出质疑，并指出"银联明文禁存信用卡信息"，然而携程网却以"系国际惯例"给予应对。孰是孰非难有明确判断，公众信息安全建立在行业的自律和 责 任者的自话自说上，从根本上还是缺乏相应的法律依据，外界的质疑和忧虑没有引起足够的重视。”文章据此找到了重提“加快信息安全立法”的机会，并继续呼吁“携程的漏洞需要一个法律补丁”。

网易科技频道发表了署名顾晓波的文章，直言携程一事造成的“三大恐慌远超实际危害”。恐慌一是带来了对“PCIDSS认证”的质疑。PCIDSS即第三方支付行业数据安全标准，支付公司都会被要求通过这一安全认证。如果“携程作为上市公司，在上市时应通过了这一安全认证”的推理成立，那么对携程的不信任将扩大到这一标准上来。恐慌二是“给扼杀在线支付提供口实”，尽管“这一说法有阴谋论嫌疑”，也“或影响到移动支付本身的发展”。恐慌三则是绑定信用卡或在线支付的危机，这恐怕最切中老百姓的心理。

与之相对，论者信海光《支付方式无原罪问题在于操作是否规范》的文章，更试图就事论事、平息这种恐慌，“世界上没有绝对安全的支付方式，泄密问题的关键不在于某种支付方式有原罪般的不安全缺陷，而在于操作者是否规范，相关的保障制度是否健全，不能因为个别互联网企业个案，来论证某种支付方式乃至互联网金融的不安全，按照这种逻辑，可被叫停的各种网上支付方式就太多了。”

在将“携程漏洞”从网络支付的大范畴中提溜出来之后，问题又回到了携程自身。如同信海光同时给新京报撰写的《携程为何犯低级安全错误》一文所言，“携程是行业巨头，又是上市公司，居然也在安全问题上犯这样的低级错误，只能说没有把用户的利益放在第一位，同时也反映出当前中国互联网界整体安全意识淡薄的现状。”

看来，这个靠在线服务壮大起来的公司，不只有技术漏洞，要打的补丁也还很多。