携程信用卡门：系统性失误还是操作失误

安全问题会成为互联网时代的大问题，携程信用卡门又一次警醒世人。

周末招商银行的服务电话被人打爆了：很多用户都在咨询自己在携程上做过交易是否需要冻结信用卡？很多人为了安全，选择了先换卡，再冻结信用卡。另有一些用户则在各社交圈子里称“永远不上携程了”。

3月22日晚，漏洞报告平台乌云网披露了携程网安全漏洞信息，漏洞发现者“猪猪侠”称由于携程开启了用户支付服务接口的调试功能，支付过程中的调试信息可被任意黑客读取。由于携程安全支付日志可以下载，导致大量用户银行卡信息泄露，其中包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等等。

为什么会出现这样的情况？携程相关负责人表示：经查，携程的技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。

某企业负责IT安全的人士表示，利用目录遍历攻击漏洞，攻击者能够超过服务器的根目录，从而访问到文件系统的其他部分，访问受限制文件或资源，或者采取更危险行为。

另外，携程可能违反了银联此前禁止记录CVC码的规定，有可能面临重罚。

是非国际标准

在携程上有信用卡支付经历的人都知道，初次使用时需提供信用卡卡种、卡号、有效期、CVV码（即信用卡验证码）等一系列完整信息，然后提交支付。但第二次在携程网使用这张信用卡时，只需提供卡号后四位，携程网就会完成这次支付操作。

而CVV几乎是核心信息：如果你把卡号、姓名以及有效期等全部报出，商家如何确认这一张卡确实就在用户手中呢？判断的标准就是能否报出CCV号码。如果通过某种途径截取了用户的姓名身份证、银行卡号、卡CVV码等信息，最严重的后果就是凭借这些全卡信息再复制一张信用卡，在网上或者实体商户消费。

事实上，关于留存CVV码，各个市场执行的标准并不一样，比如在美国，Target、Bestbuy、亚马逊等公司也要求在信用卡支付时留存CVV码，但在中国，银联要求信用卡支付不能留存CVV码。

安全一直是互联网时代的一个大问题。2006年为了应对支付安全，visa、mastercard、AmericanExpress、DiscoverFinancialServices、JCB这全球五大国际卡组织一起创办了PCI安全标准委员会，并制定了一套保护持卡人数据的技术和操作的基本安全要求措施，即PCIDSS标准。

北京航天亿展科技有限公司是PCIDSS在中国的合作伙伴，该公司于2007年与VISA及建行等将该标准体系引入国内。

航天亿展的工作人员表示，PCIDSS是对于支付网关的安全方面作出标准要求，包括安全管理、策略、过程、网络体系结果等等。据介绍，目前国外按照商户年交易量分为四个等级。第一等级是年交易量在600万笔以上的商户必须接入此系统；第二等级为年交易量100万至600万笔，第三等级为年交易量在100万至200万笔，第二等级及第三等级的商户可以请相关的人员到公司去做商务合规，合规商户会拿到相关报告；第四等级则是年交易量在2万笔，并不强制规定。

目前，南航、网银在线、支付宝、快钱及银联等多家公司及第三方支付公司已经接入该认证。航天亿展的工作人员告诉记者，比如支付宝引入该系统，就要求与其接入的大商户都要做PCIDSS认证，“我们的规范会每隔一段时间就更新。”

而在线旅游网站中，只有去哪儿已经引入该认证标准。上述工作人员称，此前携程曾有意向接入该系统，但是公司工作人员去考察之后发现，携程系统要整改难度太大，业务种类多且交叉多，如果按照该系统接入而整改会使架构都会有所变化。

“并非携程不想做，而是本身技术条件限制，这个在PCI里也有规定的，可以申请特批。”而对于携程是否做了商务合规，上述工作人员表示并不清楚。

而携程方则回应称，该系统并不是强制性的系统，在携程看来，该系统与是否进行网上支付没有任何关联度，只是商业认证资质，并不是行业准入标准，并不能代表任何问题。“就像如果我是做食品的企业，我没有ISO9000的认证，就能说我不安全么？”

是系统性还是偶然性操作失误？

携程的问题究竟是系统性失误还是偶然操作失误？

携程IT系统完全自建，因为这是一个面向新型互联网业务的系统，十分复杂且超前，超出IBM、SAP、Oracle等传统IT厂商的经验。携程相关负责人解释说：携程IT系统中包括网站系统、在线交易系统、采购系统等子业务系统，从复杂性上来说，能与之比肩的唯有淘宝。

比淘宝更为复杂的是，这些系统需要将从航空公司、酒店集团、线下风景区等供应商那里采购来的产品即时打造成服务方案。先进就是生产力，上述相关负责人说，从某种意义说，携程IT系统是携程核心竞争力之一。

国内类似电商公司大都自建IT系统，如淘宝、京东、凡客等。少部分公司采用引进，比如艺龙，就采用了大股东Expedia在国外的系统。经过在中国市场长时间的实践与磨合，才解决了水土不服的问题。上述负责人的意思很明显，携程出现的问题是偶然问题，非系统性故障。

携程呼叫中心模式加大了偶然风险出现的几率。一位不愿透露姓名的业内人表示：电话中客服人员会口头索要用户的CVV码，这种采用明码支付的方式，上万个坐席只要有一个想偷钱就会出现巨大的风险。

上述相关负责并不这样认为：携程输入卡号、密码、CVV码等是通过语音留言系统进行，而不是明码支付的方式，客服人员无法直接获得上述信息。即使用户拥有上述信息，盗刷信用卡判刑较严，违法成本很高。

上述业内人士透露：2009年以前，携程服务器并不留存用户CVV码，用户每次购买机票，预定酒店都需要输入CVV码；2009年，当时的携程CEO范敏为了简化操作流程，优化客户体验，拍板决定在携程服务器上留存CVV码。

上述消息人士说，携程现任CEO梁建章上任之后，一心发展携程移动互联网及互联网业务，对于呼叫中心运营中的这一细微变化并不知情。