漏洞報告平臺烏云網(wǎng)昨日（3月22日）披露了攜程網(wǎng)安全漏洞信息，漏洞發(fā)現(xiàn)者稱由于攜程開啟了用戶支付服務(wù)借口的調(diào)試功能，支付過程中的調(diào)試信息可被任意黑客讀取。

安全專家：安全漏洞可致信用卡被盜刷

一位匿名的安全專家告訴騰訊科技，根據(jù)烏云提供的信息來看，攜程違反了銀聯(lián)此前禁止記錄CVC的規(guī)定，導(dǎo)致這次的事件并沒有根本上解決風(fēng)險的可能。目前用戶只能通過信用卡賬單查詢，才能了解自己的銀行卡是否被盜用。

該專家稱，這件事情的影響會很大，因為與此前7天等快捷酒店爆出的信息泄漏不同，此次安全漏洞涉及到用戶的銀行信用卡。舉例來說，黑客可以通過用戶的手機號碼、銀行卡號和CVC（信用卡驗證碼）注冊第三方支付賬號，從而跳過用戶和銀行綁定的手機，進行盜刷。

CVC即銀行信用卡背后的三位驗證碼，在無卡支付的環(huán)節(jié)，只需要提供卡號和這三個驗證碼就能完成支付，銀行會默認是用戶自己在POS機上刷卡消費。

另一位安全專家對騰訊科技表示，信用卡號、姓名、有效期、CVV碼泄露之后，可以實現(xiàn)信用卡離線支付，支付過程不需要提供簽名和支付密碼。而且，這種支付會被銀行確認為持卡人本人操作，任何風(fēng)險均由持卡人個人承擔。

這些數(shù)據(jù)如果落入攻擊者手中，可以用來注冊國內(nèi)外任一家電商服務(wù)，特別是國外，如果剛好是雙幣信用卡，購物只需要點擊確認即可完成支付。

“這些數(shù)據(jù)可以用來創(chuàng)建或關(guān)聯(lián)第三方支付，國內(nèi)第三方支付公司多達幾百家，可以利用的點很多。受害者可能隨時出現(xiàn)資金被盜。”該支付專家稱。

安全專家指出，一般消費需要密碼，也可以是簽名，但CVV碼會被視為密碼或簽名。只有三位數(shù)，以往很懂信用卡的人，都會教網(wǎng)民，申請完信用卡，把背面末三位刮掉。“你外出消費，要是被服務(wù)員記錄下這些數(shù)據(jù)，服務(wù)員就可花你的錢。”

一位銀聯(lián)互聯(lián)網(wǎng)業(yè)務(wù)技術(shù)負責(zé)人告訴騰訊科技，目前支付主要有兩類，包括訂購類業(yè)務(wù)和普通互聯(lián)網(wǎng)個人業(yè)務(wù)，其中訂購類業(yè)務(wù)支付風(fēng)險較低。

具體來說，訂購類業(yè)務(wù)包括飛機票、火車票預(yù)定，以及酒店預(yù)定。因為最終消費時可以追蹤到賬單的受益者，所以用戶在相關(guān)網(wǎng)站進行消費時，只需要通過信用卡后CVC碼就可以完成支付。

如果是其他互聯(lián)網(wǎng)個人業(yè)務(wù)，比如網(wǎng)絡(luò)購物等較大金額的支付，就需要動態(tài)密碼的協(xié)助，即銀行會發(fā)送驗證碼到手機上，用戶通過輸入驗證碼才能完成支付，因此沒有辦法盜刷。

該負責(zé)人介紹稱，目前保障用戶信用卡安全的方式主要包括通過安全控件碼（網(wǎng)上提示的動態(tài)驗證碼）、動態(tài)密碼、驗證與預(yù)留手機號碼是否一致，以及其他的風(fēng)險控制措施，如連續(xù)刷卡出現(xiàn)異常交易、銀行設(shè)定的交易額度控制等。

因此，這次黑客盜取信息后，如果想要進行消費的話，只能通過一些小額免密碼支付的方式進行，比如手機充值和購買點卡，但這對黑客來說時間成本很高。

針對此次烏云漏洞報告，MediaV CTO、原;ogle技術(shù)總監(jiān)胡寧分析，可能攜程并未故意存儲CVV信息。但其數(shù)據(jù)傳輸為明文，且線上竟長時間打開調(diào)試功能，導(dǎo)致系統(tǒng)日志中亦為明文，又未及時清理，所存儲的服務(wù)器還有安全漏洞。一步錯，步步錯，“用戶信用卡信息泄露，并非犯低級技術(shù)錯誤這么簡單。敏感信息需加密存儲、線上開調(diào)試功能需慎重、系統(tǒng)日志要及時清理、服務(wù)器安全性要達標，這都是常識。”胡寧說。

知名網(wǎng)友“花總丟了金箍棒”在微博稱：“可靠信源說，如果一周內(nèi)未使用過攜程問題不大，此次漏洞影響范圍也不大，他們已經(jīng)報警。”

安全漏洞可能因APP開發(fā)調(diào)試導(dǎo)致

據(jù)知情人士透露，攜程此次用戶信息泄露事件，可能是無線研發(fā)推進過快而變相導(dǎo)致的。該人士稱，攜程的安全漏洞，不是在Web網(wǎng)頁上的漏洞導(dǎo)致，而是無線部門在手機APP產(chǎn)品調(diào)試過程中，保存了日志并在Web.config 開了目錄遍歷才出的狀況。

某企業(yè)負責(zé)IT安全的人士向騰訊科技表示，利用目錄遍歷攻擊漏洞，攻擊者能夠超過服務(wù)器的根目錄，從而訪問到文件系統(tǒng)的其他部分，訪問受限制文件或資源,或者采取更危險行為。

那么攜程的這個安全漏洞可能是怎么造成的？某互聯(lián)網(wǎng)上市公司CTO告訴騰訊科技，不管是App還是Wap或Web，都只是產(chǎn)品的前端表現(xiàn)形式，所調(diào)用的數(shù)據(jù)源必然只有一個。新產(chǎn)品的上線流程一般是開發(fā)機-內(nèi)網(wǎng)測試機-發(fā)布員發(fā)布到外網(wǎng)，每個環(huán)節(jié)都有QA測試，但在緊急或意外情況下，程序員會臨時去外網(wǎng)修改產(chǎn)品，這么做非常危險，因為跳過了控制流程、跳過了發(fā)布員（跟產(chǎn)品開發(fā)不是一撥人）。

該人士表示，攜程是上市公司，應(yīng)該有非常嚴格的控制，猜測是不小心把沒有過濾好的內(nèi)網(wǎng)代碼目錄發(fā)布到外網(wǎng)了。如果是這種發(fā)布錯誤，問題并不嚴重，也就是版本控制不力——但如果是有員工跳過流程直接修改，就是特大問題，因為這意味著產(chǎn)品失去了對各環(huán)節(jié)和安全的控制點。

攜程稱目前無信用卡被盜刷情況

攜程今日回應(yīng)，稱經(jīng)查，這是攜程旅行網(wǎng)在技術(shù)調(diào)試過程中，出現(xiàn)了短時漏洞。消息發(fā)布后，攜程立即展開技術(shù)排查，并在兩小時內(nèi)修復(fù)這個漏洞。據(jù)攜程排查，除漏洞發(fā)現(xiàn)人做了少量的測試下載并已全部刪除外，沒有出現(xiàn)惡意下載有關(guān)數(shù)據(jù)的情況，用戶在攜程的交易仍舊是安全的，用戶信息沒有受到影響。

事件發(fā)生后，攜程同各大銀行均取得聯(lián)系，經(jīng)核實，目前也沒有出現(xiàn)用戶信用卡被盜刷的情況。攜程稱，未來，倘若發(fā)生安全漏洞并引起用戶損失，攜程將給予全額賠付。針對此事給用戶造成的困擾，攜程旅行網(wǎng)誠懇致歉。

昨日晚間攜程曾表示，可能受影響用戶為3月21日與3月22日的部分交易客戶，目前并沒有用戶收到該漏洞的影響而造成相應(yīng)財產(chǎn)損失的情況發(fā)現(xiàn)。攜程將對于提供漏洞信息者給與重獎，對于此次漏洞事件如果有新的進展將持續(xù)通報。

銀行信用卡中心暫未收到攜程應(yīng)對措施

騰訊科技致電各大銀行信號信用卡中心，都表示還沒有收到攜程官方公告通知具體情況和應(yīng)對措施，招商銀行和民生銀行信用卡中心工作人員告訴騰訊科技，暫時不了解攜程信用卡信息泄露相關(guān)的具體信息，但是客戶如果擔心私密信息被泄露，會凍結(jié)舊卡寄送新的卡片。

專家建議：關(guān)閉信用卡網(wǎng)上支付功能

安全專家建議用戶，注意檢查信用卡帳單和消費短信，如果發(fā)現(xiàn)異常，及時聯(lián)系銀行，以減輕損失。如果已確定發(fā)現(xiàn)信用卡交易異常，懷疑信用卡信息泄露，可選擇關(guān)閉信用卡網(wǎng)上支付功能（對用戶影響很大），或者聯(lián)系銀行注銷舊卡片，更換新卡。

據(jù)悉，攜程已建立安全應(yīng)急響應(yīng)中心，并設(shè)立了信息安全獎勵基金，獎勵為攜程找出漏洞的信息安全衛(wèi)士。據(jù)騰訊科技了解，目前很多用戶依然很恐慌。