携程“泄露门”是中国网络支付的一次标志性安全事故。

　　这次波及全国的信用卡信息大泄露，为日益增长的网络支付市场敲响了警钟。在线旅行网站为了测试和运营方便，就敢存储用户CVV2信息。那么，还有哪些地方安放着我们的隐私?

　　相比国外，我们还需要做很多。没有完美的法律，法律之外要靠自律。请携程们流淌一点道德的血液。否则，损失的将是中国互联网产业的公信力。

　　【一夜之间换卡忙】

　　周六(3月22日)晚间，携程被曝出重大安全漏洞，足以导致用户信用卡信息泄露。

　　据专业漏洞报告平台乌云网公布，携程安全支付日志可下载，导致用户银行卡信息泄露(包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin)。此外，携程还被曝出某分站的源代码包可以直接下载!

　　携程，中国网络预定机票酒店的老大，市值64亿美金的境外上市公司，用户数何止几千万。兹事体大，网上一下子炸锅。微博讨论铺天盖地，微信朋友圈被刷屏，微信群不断弹出消息。社交网络的威力，让此事一夜之间传遍全国。

　　一开始我以为只是记录了个人卡号，心想反正盗刷了银行要赔。查了一下才吓了一跳，根据PCI DSS(第三方支付行业数据安全标准)，CVV2 属于不允许存储的“敏感数据”。更重要的是，敏感资料泄露，就是一系列不安全的开始。

　　在网站上需要输入CVV，和存储CVV是两个概念。有些信息可以存，有些信息无论如何也不能存，携程存了“无论如何也不该存的CVV”，这相当于把你信用卡的密码存储并泄露了。汽车之家创始人兼总裁李想表示，“这时候还帮着携程说话的，就是典型的被卖了还帮着数钱的。”

　　更滑稽的是，曝光后微信公共账号却一度禁止发出相关消息，不知道这是携程的推动，还是招行的推动?我只想说，这种危机公关弱智之极。

　　像许多网友一样，我也在大周末被迫紧急换卡了。虽然招行是免费换卡(据说广发收30块挂失费+15元补卡费)，电话占线不说，给早已习惯了刷卡消费的我带来很多不便。为自己代言，每个用户都有表达自己感受的权利。

　　【网络支付遭遇信任危机】

　　除了事件性质严重之外，携程轻描淡写的态度也令不少用户愤怒。

　　“经查，这是携程旅行网在技术调试过程中，出现了短时漏洞。消息发布后，携程立即展开技术排查，并在两小时内修复了这个漏洞。据携程排查，除了漏洞发现人做了少量的测试下载并已全部删除外，没有出现恶意下载有关数据的情况，用户在携程的交易仍旧是安全的，用户的信息安全没有受到影响。

　　事件发生后，携程同各大银行均取得联系，经核实，目前也没有出现用户信用卡被盗刷的情况。携程郑重承诺，未来，倘若发生安全漏洞并引起用户损失，携程将给予全额赔付。携程旅行网一贯对信息安全非常重视，为了更好地保障用户及网站的安全，将广邀信息安全卫士，一起来加固系统信息安全。上周，携程已建立安全应急响应中心，并设立了信息安全奖励基金，奖励为携程找出漏洞的信息安全卫士。”

　　媒体人黑马说，“携程这就是废话，因为根本无法判断是否是被盗用的，他肯定让用户自己举证!负责任的做法是，携程直接与所有涉及的银行沟通，所有涉及卡片全部重做、下发。”

　　网友王笺更言辞激烈地在微博上表示，“应该对携程巨额罚款，为什么要保存不应该保存的信用卡信息?每次订房携程明确告知我不会保存的，这种骗人的商家就不应该让它存在，直接叫它破产干净!”

　　在线旅行老大都这么干，那支付宝、微信支付、其它第三方支付呢?这么搞，破坏的是整个产业的公信力。严肃地说，也让前一阵央行紧急叫停部分网络支付有了现实理由。

　　诚如李想所言，“存储了用户信用卡的CVV，还泄露了。前一个是企业的基本道德问题，后一个是安全问题。”

　　作为在线旅行老大，作为一个老牌蓝筹股，我希望携程真正反思道歉，用负责任的态度确保用户安全，并向所有换卡用户补偿，为行业做出表率。

　　【他山之石：国外“法律重罚+两大招”】

　　有网友说：“令人不安的是，携程漏洞也许不是偶然的事情，是黑客搞到数据才被曝光的。那么，到底还有多少数据是已被黑客拿到了但我们不知道的呢?”

　　资深互联网安全人士RoyLi表示，整体上中国网民的安全意识还处在上世纪水平，很多用户上网时，并不会较真网站声明，而采取了默认的信任。而在国外，只要涉及敏感用户隐私的网站，都需要一个非常复杂的声明：声称绝不会存储不该存储的信息，也不会向用户询问隐私信息(反诈骗提醒)。

　　在国外身份窃取或信用卡诈骗是联邦重罪， 为了预防和打击犯罪，信用卡公司和金融机构每年投入大量经费，联合治理网络支付安全。其中最著名的是 PCI-DSS compliance和信用卡3D验证，其中PCI是预防信息泄露，3D是防止盗取信息者牟利。

　　携程这个接口属于站内支付，管理支付网站安全的国际标准就是PCI compliance。PCI就是Payment Card Industry，DSS就是data storage security。PCI标准要求非常高，需要实时更新。提供PCI验证服务的公司，通常会多方面地地毯式扫描找出各类漏洞，还要网站在申请时严格申明“不能保存不该存的信息，以及不可以不使用 SSL 加密数据传输(避免数据嗅探)”。

　　3D验证则在不同国家有不同做法，多数是通过大数据检验你是否是在常用设备和IP上登录，以及行为是否正常。如果不是弹一个小窗，需要输入更隐私的信息，可以是密码保护问题，也可能是生日，社会保险号等，目的是验证使用者确实是你。举个例子，盗取Paypal的黑客即便是在被盗用户自己的机器上都有可能在提现时被锁号。

　　以上两“大招”加起来是否能完全避免信息泄露的损失呢?Roy Li认为，“当然这也做不到100%绝对安全，但至少体现了一种态度。国内大多数公司平常不把安全落实到实处，得过且过，等出了问题才修复和危机公关。”

　　“我相信携程有能力做到完全PCIcompliance 并时刻更新，也能把网络安全措施做到国际水准，但是它却没有。在一个连地沟油、毒奶粉都没有FDA这样严格标准监管的地方，PCI确实不是一个性价比高的东西，还不如花点钱多投点广告来点流量更实际。”Roy Li说。

　　中国互联网互骂互殴是常态，网民出了事第一反应是“狗咬狗”。在移动互联网狂野爆发、移动支付如火如荼的今天，这种恶性泄露事件，更是一记重拳。网民经不起这样的折腾了!请向国际标准看齐，请拿出态度重塑信任。