這兩日，關(guān)于攜程曝出的信用卡安全支付漏洞事件被鬧得沸沸揚(yáng)揚(yáng)。3月22日，據(jù)專業(yè)漏洞報(bào)告平臺(tái)烏云網(wǎng)公布，攜程安全支付日志可下載，導(dǎo)致用戶銀行卡信息泄露(包含持卡人姓名、身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin)。

　　事件發(fā)生后，攜程做出了相關(guān)回應(yīng)。攜程表示：“攜程的技術(shù)開發(fā)人員之前是為了排查系統(tǒng)疑問，留下了臨時(shí)日志，因疏忽未及時(shí)刪除，目前，這些信息已被全部刪除。”另?yè)?jù)攜程排查：“除了漏洞發(fā)現(xiàn)人做了少量的測(cè)試下載并已全部刪除外，沒有出現(xiàn)惡意下載有關(guān)數(shù)據(jù)的情況。經(jīng)各銀行反饋，沒有發(fā)生攜程用戶信用卡被盜刷的情況”。攜程表示，未來如果因安全漏洞引起用戶損失，攜程將承擔(dān)全部責(zé)任并給予賠付。

　　雖然從目前看來，事件的影響似乎未及想象中那般惡劣。但從人們對(duì)該事件的關(guān)注程度及各方評(píng)論來看，這次波及全國(guó)的信用卡信息大泄露，無(wú)疑為日益增長(zhǎng)的網(wǎng)絡(luò)支付市場(chǎng)帶來了不小的沖擊。

　　從技術(shù)層面講，此次事件是攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能，將用戶支付的記錄用文本保存了下來。同時(shí)因?yàn)楸４嬷Ц度罩镜姆?wù)器未做校嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取。

　　然而，在此次事件中，攜程保存客戶信息、特別是對(duì)用戶的CVV代碼的記錄是明顯違反銀聯(lián)規(guī)定。特別是PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))明確規(guī)定不允許存儲(chǔ)CVV，而作為支付頁(yè)面通過了PCI認(rèn)證的攜程來說，做出這樣的舉動(dòng)不禁令業(yè)界嘩然。

　　或許攜程此舉并非故意存儲(chǔ)CVV信息，但其數(shù)據(jù)傳輸為明文、線上長(zhǎng)時(shí)間打開調(diào)試功能、系統(tǒng)日志中亦為明文且未及時(shí)清理的做法，明顯違反了“敏感信息需加密存儲(chǔ)、線上開調(diào)試功能需慎重、系統(tǒng)日志要及時(shí)清理、服務(wù)器安全性要達(dá)標(biāo)”等常識(shí)問題。加之其所存儲(chǔ)的服務(wù)器存在安全漏洞，一系列的因素導(dǎo)致了如今攜程用戶“一夜之間換卡忙”的局面。

　　在網(wǎng)絡(luò)安全界，永遠(yuǎn)沒有絕對(duì)的安全，安全就是一場(chǎng)攻防戰(zhàn)。那么，是否我們消滅漏洞，就能夠保護(hù)好信息安全？

　　攜程漏洞的曝出也許不是偶然的事情，但也絕非當(dāng)前互聯(lián)網(wǎng)信息安全中的個(gè)例。攜程泄漏門事件告訴我們：決定網(wǎng)絡(luò)安全的攻防戰(zhàn)勝負(fù)的，絕不僅僅只是技術(shù)的問題，而是包含了技術(shù)、安全意識(shí)、制度、監(jiān)管、信用機(jī)制等一系列因素。

　　在此次事件中，我們并不主張以最大的惡意去揣測(cè)攜程的一系列不規(guī)范操作，但攜程技術(shù)人員的操作行為已然暴露出當(dāng)前從業(yè)人員的安全意識(shí)相當(dāng)?shù)?此外，攜程作為已通過PCI-DSS認(rèn)證的企業(yè)，卻做出記錄CVV碼這樣的違規(guī)行為，我們不禁要問，沒有監(jiān)管到位的認(rèn)證，是否只是一個(gè)擺設(shè)？

　　另外，攜程“泄露門”事件對(duì)正在發(fā)展中的互聯(lián)網(wǎng)金融無(wú)疑是重重一擊，同時(shí)損失的，還有整個(gè)中國(guó)互聯(lián)網(wǎng)長(zhǎng)久以來建立起來的公信力。

　　如今，網(wǎng)絡(luò)支付已是大勢(shì)所趨，互聯(lián)網(wǎng)給我們帶來便捷的同時(shí)必然帶來了安全問題。攜程此次的“泄露門”事件也或許會(huì)成為中國(guó)網(wǎng)絡(luò)支付的一次標(biāo)志性安全事故。在敲響警鐘的同時(shí)，我們更希望這次事件會(huì)再次讓中國(guó)的網(wǎng)絡(luò)安全界認(rèn)識(shí)到：任何以犧牲網(wǎng)絡(luò)安全的代價(jià)的做法，都將會(huì)給互聯(lián)網(wǎng)的發(fā)展帶來毀滅性的打擊。

　　正如業(yè)內(nèi)安全專家安全寶聯(lián)合產(chǎn)品副總裁吳翰清對(duì)此次事件的評(píng)論：“對(duì)攜程來說，這次的事件與其說是技術(shù)上的漏洞，不如說是信譽(yù)上的危機(jī)。同時(shí)也讓我們看到了安全的重要性：建立用戶信任可能需要若干年，毀掉它卻只需要一天。”對(duì)于整個(gè)互聯(lián)網(wǎng)來說，又何嘗不是如此？重視網(wǎng)絡(luò)安全，莫讓互聯(lián)網(wǎng)的千里之堤，潰于缺乏網(wǎng)絡(luò)安全防護(hù)的蟻穴。