互聯網將人們帶入了大數據時代，大數據被稱為未來的信息“金礦”。這些數據的價值越來越被重視，無數雙眼睛正窺視著這筆無形的資產。

　　“攜程在手，說走就走。”看似輕松的廣告語背后，卻隱藏著信用卡泄密的風險。3月22日晚，全國知名票務服務公司、在美國納斯達克上市的攜程旅行網遇上了一片“烏云”。據國內漏洞報告平臺烏云披露：攜程旅行網支付日志存在漏洞，用戶銀行卡信息可被黑客任意讀取。

　　中國互聯網信息中心調查報告顯示，2013年我國網購用戶規模已達到3.02億人，參與網購的用戶數還在呈現爆炸性增長。每天我們都要和形形色色的網站打交道，攜程事件再次撥動公眾敏感神經：

　　你曾經在多少家網站上留下過多少信息?這些網站會不會濫用抑或不慎泄露這些信息?這次攜程也許只是不慎開啟了信息可能被泄露的“潘多拉之盒”，可是，如果有些網站故意為之甚至盜用這些信息，豈不是輕而易舉?這些信息被泄露后，將給我們帶來怎樣的損失?……一系列問題在等待答案。

　　攜程泄密：安全隱患可能并未根本解除

　　22日，烏云漏洞平臺發布消息稱，攜程旅行網支付日志存在漏洞，或導致大量用戶銀行卡信息泄露。攜程隨后確認存在這一漏洞，并發聲明表示，有93名用戶存在安全風險。雖然攜程表示漏洞已經修復，但這一安全事件仍引發諸多質疑。有專家表示，攜程保存客戶銀行卡信息的做法違反銀聯的規定。

　　攜程存儲用戶銀行卡信息 被指違反銀聯規定

　　據了解，此次攜程漏洞可使包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin泄露。據了解，CVV即 Card Verification Value，是由卡號、有效期和服務約束代碼生成3位或4位數字，一般寫在卡片磁條2磁道用戶自定義數據區里面。無需密碼支付的方式也叫信用卡“離線交易”，僅憑卡號、CVV碼等信息即可完成支付。專家提醒，CVV安全碼相當于信用卡“第二密碼”，需妥善保管。

　　針對攜程此次漏洞，新浪微博認證為“MediaV CTO，原Google技術總監”胡寧稱，用戶信用卡信息泄露，并非犯低級技術錯誤這么簡單，“敏感信息需加密存儲、線上開調試功能需慎重、系統日志要及時清理、服務器安全性要達標，這都是常識”。

　　金山毒霸安全專家李鐵軍接受中新網IT頻道采訪時稱，從目前攜程和烏云公布的資料來看，攜程用戶隱私的泄露過程還并不能完全肯定，但是結果造成的用戶安全風險是非常大的。“除了被盜刷的可能，了解用戶這些信息后還可以創建第三方支付賬號，綁定信用卡實現境外購物。”據了解，信用卡有一種支付功能為離線支付，這種支付方式只要知道了用戶的基本信息和CVV代碼后就可以實現支付。

　　據多家媒體報道，此次漏洞在于攜程記錄了用戶的CVV代碼。上海鼎力律師事務所孫建中律師表示，攜程保存客戶信息的做法違反銀聯的規定，從《消費者權益保護法》看，其技術手段未盡到保護消費者的義務。財新傳媒總編輯胡舒立也指出，攜程不是第三方支付機構，無權保留銀行卡信息。

　　另一方面，PCI-DSS(第三方支付行業數據安全標準)規定了不允許存儲CVV，但攜程支付頁面稱通過了PCI認證，同樣令人費解。

　　安全專家：被記錄過CVV代碼的用戶都必須換卡

　　攜程在聲明中表示，“截至23日22時，沒有接到攜程換卡通知的客戶，個人信息均是安全的，無需擔心。”攜程表示，目前有93人賬戶存在安全風險，并承諾未來如果因安全漏洞引起用戶損失，攜程將承擔全部責任并給與賠償。

　　但是這份聲明或并沒有打消用戶的擔心，不少攜程用戶在微博表示“必須換卡”。 據了解，作為國內在線旅游市場份額最大服務商，攜程日均酒店預訂、票務預訂等業務量以十萬計。不少網友表示，這樣大規模的一家企業，即便是如攜程所表示僅21日、22日的部分交易客戶存風險，難道僅僅是93位嗎?

　　另一方面，怎么界定信用卡被盜刷同攜程漏洞有關也是一個問題。網友@舞劇3D稱，攜程所謂賠付的承諾根本不可信，因為你根本無法舉證信息泄露與攜程有關。還有網友指出，即便現在信用卡沒有被盜刷，黑客還是可能把泄露的信息保存起來靜默一段時間再動手，而到時被盜刷的原因也很難判斷。“如果信用卡被用此種方式盜刷，維權也很困難，因為銀行會認為是本人持卡在執行這些操作。”李鐵軍表示。

　　有業內人士指出，從目前來看，最為保險的做法是“換卡”。但是哪些用戶有換卡的必要呢?是否攜程所有用戶都必須換卡?“從目前攜程和烏云披露的信息中并不能確定是否所有攜程用戶信息都被泄露，但是只要被記錄過CVV的用戶就必須更換信用卡。”李鐵軍表示。

　　攜程安全隱患可能并未根本解除

　　經銀行反饋，目前并沒有發生攜程用戶寫用卡被盜刷的情況。但事情似乎并不這么簡單。

　　據多家媒體報道，此前已有攜程用戶對于攜程支付安全提出質疑，攜程回應稱攜程采用的信用卡支付方式符合國際慣例，且公司內部有足夠的風險把控能力。微博實名認證為廣西易搜科技有限公司CEO的嚴茂軍在微博上表示，“早在2月25日就致電過攜程我綁定攜程的幾張信用卡被盜刷十幾筆外幣的事件，當時他們回復系統安全正常。”

　　羊城晚報援引安全人士表示，“但從目前情況看，攜程的支付系統的確存在很多不確定性，風險程度很高。除了黑客盜取信息，公司內部對用戶信息管理情況也令人擔憂。”

　　雖然不少攜程的用戶在看到消息之后，已經連夜向銀行申請取消信用卡。但在奇虎360首席隱私官譚曉生看來，從已知信息來說，仍不能準確斷定是否已經有大規模泄露發生，真正的情況只有當事企業自己清楚。(吳濤)