【案例】“携程漏洞门”事件之警示 经典案例宣讲家

admin管理员组

文章数量:1530908

2024年7月18日发(作者：)

【案例】“携程漏洞门”事件之警示 经典案例 文库 宣讲家

【百姓心声】

【事件介绍】

“乌云”笼罩携程被曝泄露用户支付信息

继如家等连锁酒店被曝出泄露客人信息后，又一家大型企业被指泄密客户信息。3月

23日获悉，携程()在22日被国内安全漏洞监测平台“乌云网”披露：携

程旅行网支付日志存在漏洞，用户银行卡信息可被黑客任意读取。携程23日坦承漏洞的

确存在，其已进行修补，并已通知存在潜在风险的93名用户更换信用卡。

3月22日晚间，携程被一片“乌云”笼罩。当日，乌云漏洞平台披露：由于携程用于

处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。

同时因为保存支付日志的服务器未做较严格的基线安全配置，存在目录遍历漏洞，导致所

有支付过程中的调试信息可被任意骇客读取。

乌云平台指出，携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露，其中

包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。

携程方面承认漏洞存在。携程向表示，其已展开技术排查，并在2小时内修复了这个

漏洞。经查，携程的技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未

及时删除，目前，这些信息已被全部删除。

携程表示，经排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共

涉及93名存在潜在风险的携程用户。3月22日晚至23日，携程已通知存在潜在风险的

93名用户更换信用卡，银行方面也会尽快协助用户办理换卡手续。经各银行反馈，截至目

前，没有发生携程用户信用卡被盗刷的情况。

携程承诺，未来如果因安全漏洞引起用户损失，携程将承担全部责任并给予赔付。携

程同时表示，将加固系统信息安全。

但有消费者担心，假如发生信用卡损失，如何证明与携程有关？

微博名为“原子小金刚君”的网友指出，携程的声明从法律和逻辑上看起来没问题，

但假如用户被盗刷了，如何先证明信息是从携程泄露的呢？

主动披露携程漏洞问题的乌云漏洞平台，是一个位于厂商和安全研究者之间的安全问

题反馈平台。该平台上有不少“白帽子”，即具有专业技术者，他们有时也会以“骇客”身

份进行漏洞检查，但“白帽子”不会恶意牟利，而是善意提醒发生漏洞的企业进行修补。

此前乌云曾发现如家等知名连锁酒店有泄露客户信息的问题，并对此进行了披露。

去年10月，乌云平台披露，自称是中国最大的酒店数字客房服务商的浙江慧达驿站

公司，因为安全漏洞问题，使与其有合作关系的大批酒店的开房记录在网上泄露。数天后，

一个名为“2000w开房数据”的文件出现在网上，其中包含2000万条在酒店开房的个人

信息，容量达1.7G。

“现在各大OTA、购物网站等都在力拓无线端，近期打得不可开交的在线旅游和购物

价格战都是为了争夺无线端客户。为了抢个微信红包或获得旅游产品返现等，很多年轻客

户捆绑银行卡，但是这种便捷的在线支付背后或许蕴藏着很大的危机。如何监管这些因为

网络化经济而带来的支付风险是个十分严峻的问题。”华美首席知识专家赵焕焱分析。

“携程用户信息漏洞门”追踪

从3月22日开始“发酵”的携程用户信息“漏洞门”于25日告一段落。携程表示，

将对支付流程进行整改，取消对用户信用卡CVV信息的询问和登记，不再保留任何用户的

CVV记录。

CVV码是由卡号、有效期和服务约束代码生成3位或4位数字。目前很多网站采用无

需提供密码的信用卡“离线交易”，即仅凭卡号、CVV码就可完成支付。

取消CVV信息登记

据了解，携程的整改包括，公司客服将取消对用户信用卡CVV信息的询问和登记。同

时，严格遵守相关政府主管部门规定，不再保留任何用户的CVV记录。在优化和完善用户

支付流程的同时，携程会邀请国内最顶尖的网络系统安全专家来携程“坐堂”，定期“会诊”

携程的支付系统以升级加密措施。

此外，携程还表示，已启动PCI（国际支付卡行业数据安全标准）认证和银联认证程

序，以期更符合国内外安全规范。

上述整改来自于22日爆发的携程“漏洞门”。3月22日，乌云漏洞平台发布报告称，

携程系统存技术漏洞，黑客可从中获取用户个人信息、银行卡号、CVV等信息。

随后，携程回应，已进行安全排查和漏洞修复，存在潜在风险的用户共93人，客服

部门已经进行通知和协助换卡并赔偿。这一事件引发携程股价周一跌3.44%，收于每股

47.79美元。

国内网站保留CVV信息现象普遍

但是，漏洞门并未因93人的范围确定而结束，而是引发了广大用户对携程支付流程、

安全性以及技术水平的质疑。网友的疑问主要集中在“为什么要存CVV”。

此前，携程表示，按照相关银行的支付规定，部分银行用户交易时，需提交CVV信息。

在交易完成后，会立即删除。未扣款成功的交易，也将在7天内删除CVV信息。携程称，

这样的做法符合国际普遍认可的PCI-DSS（第三方支付行业数据安全标准）规定。

据记者了解，不仅携程，国内许多需要支付过程的网站都会临时保存用户CVV等支付

信息。

另外，记者24日接到爆料并核实到，北京汉唐科讯环保科技公司发布内部邮件，要

求公司人员停用携程进行出差预订。携程相关负责人对记者表示，经查，该公司并不是携

程的商旅客户，可能是散客进行的预订。

携程“漏洞门”再次敲响互联网个人信息安全警钟

一时之间，携程旅行网陷入“支付漏洞”风波，被推向了舆论的风口浪尖，记录支付

行为数据等行为广受质疑。主要集中在：其一，携程存储信息“犯规”。据中国银联风险管

理委员会已发布的《银联卡收单机构账户信息安全管理标准》规定，收单机构系统只能存

储用于交易清分、差错处理所必须的最基本账户信息。而此次曝光的携程却保存了用户相

关机密信息，且没有安全存储。其二，携程技术人员在操作中存在工作疏忽。业内人士指

出，“携程是行业巨头，又是上市公司，居然也在安全问题上犯这样的错误，只能说没有把

用户的利益放在第一位，同时也反映出当前互联网界整体安全意识淡薄的现状。”

除了此次携程“漏洞门”事件，近年来互联网安全事件频发。今年央视3.15晚会就曝

光了智能手机预装恶意应用黑幕，偷偷上传用户隐私，让用户对手机安全备感担忧。还有

媒体联合调查显示，有68%的受访者表示个人信息曾被泄露过，只有8%的被调查者表示

个人信息没有被泄露过，还有24%的人根本不知道自己的信息是否被泄露过。

由此看来，携程“漏洞门”事件作为一个导火索，凸显保护公民个人信息安全的迫切。

对于相关企业来说，保障用户利益，增强安全意识，强化技术手段是当务之急。对于个人

用户来说，务必提高警惕，随时注意检查信用卡账单和消费短信，如果发现异常，应及时

联系银行方面。从监管角度来说，修改后的新《消保法》中，“个人信息保护”首次被作为

消费者的权益确认下来，消费者个人隐私受保护的权益终于有法可依。

携程泄露个人信息网络消费安全法律准绳在哪

虽然也许本次“携程安全门”并没有大家所想象的严重，而目前也尚未发生实际损失。

但如今大多数人都离不开网络支付，我们每天都要和形形色色的网站打交道。在此过程中，

我们曾经留下过多少信息？这些网站会不会滥用抑或不慎泄露这些信息？如果有些网站故

意为之甚至盗用这些信息，岂不是轻而易举？这些信息被泄露后，将给我们带来怎样的损

失？

各种网络平台的蓬勃发展改变了传统消费模式，在带来便利的同时，也让我们和网站

安全紧紧绑在一起。另一方面，大部分人对网络安全专业知识又不太了解。这种“无知”

不仅可能被不良网站所利用，也可能让人们产生恐惧，长远看对各方都不利。

通过携程漏洞门，我们有必要反思相关法律是否能够合理界定网络安全中的刑事、行

政、民事等各类法律关系？执法主体本身是否明确，同时是否确立了明确、有效的执法尺

度，是否为相关主体提供了公平、安全的行为准则？相关行业是否形成了充分保障用户安

全权和知情权的行业标准？司法机关对于相关类型的新型犯罪和纠纷，是否有了最起码的

专业知识储备和司法准绳？谁有责任向用户普及最基本的网络安全常识？诸如此类的疑

问，已经给各方敲响了警钟，网络消费安全必须得到更多的关注和保障。

直击携程漏洞门：在线支付安全亟待制度和法律解答

近年来，随着移动互联网和智能手机设备的飞速发展，互联网和金融结合得日益紧密，

新型移动支付领域也成了钓鱼软件和骇客的觊觎之地。此前，当当网、亚马逊、京东商城、

如家快捷酒店都曾爆出用户个人信息遭泄露的报告，而央行也在前不久因支付安全问题叫

停二维码支付和虚拟信用卡。CNNIC数据显示，2013年因网上支付发生安全问题的网民

数占整体上网人数的4.0%，影响人数达2010.6万人。

由此可见，携程“漏洞门”事件虽是一次偶然，但却折射出互联网金融在经历快速发

展时所潜藏的问题。与传统金融完备的安全体系相比，互联网金融信息安全立法缺失、监

管不到位，惩处力度小，都加大了风险防控难度。

事实上，我国早有明确规定，收单机构不能够存储包括CVV码在内的银行卡信息。但

国内一些电商网站一味追求用户在支付环节的快捷体验，以更方便地促成交易完成，往往

在后台记录用户的隐私信息，这似乎已成行业潜规则。

“用户信息被非法存储，是相关公司有利可图。”无限趋势咨询集团首席执行官王越认

为，对互联网企业来讲，用户信息，消费习惯、个人数据、行为特征是互联网企业最重要

的核心资产之一，部分网络公司会通过收集这些信息去开展大数据分析，进一步挖掘用户

的潜在消费能力，从而为企业下一步开发新产品提供判断依据。

2014年全国两会上，国务院总理李克强在政府工作报告中提出，要促进互联网金融健

康发展。如何为公众的个人信息和支付安全撑起“保护伞”，亟待制度和法律解答。专家表

示，监管部门应将精力放在如何在信用支付使用中保障安全上，比如，强制相关网站必须

通过PCI－DSS安全认证这类国际性的在线交易数据安全标准，并定期核查。与此同时，

要求商家在内网安装防火墙，监测重要数据的使用记录。还应为用户购买保险，提供赔付

服务。

另有媒体人士建议，互联网金融企业应将网络信息安全独立出来，由专门信息安全公

司进行配套运作，然后政府再对相应的信息安全公司进行严格监管。这样既能使网络信息

安全得到足够重视，又能使监管变得有的放矢。

值得注意的是，“安全漏洞”还需“法律补丁”。业内人士建议，我国对互联网金融监

管可借鉴海外先进经验。美国2012年公布了《消费者隐私权利法案》，通过该法案，消费

者能够控制互联网公司搜集的数据类型，互联网公司必须公开其使用消费者隐私数据的计

划。这些公司还必须保证和负责对消费者隐私信息的处理，并采取强有力的措施对隐私信

息进行保护。而在韩国，非法泄露客户信息时，金融公司需缴纳的罚金为以往的3倍，且

没有上限，相关刑事处罚也加重至有期徒刑10年以下。

“近两年互联网企业泄露用户隐私事件频发，主要是我国相关法律体系还不健全，企

业违法成本太低。一旦用户信息泄露，或者企业收集了不该收集的信息，也不会面临什么

处罚。” 奇虎360公司副总裁谭晓生说。对此，专家呼吁出台相关法律法规，一来对相关

网络公司与金融企业在保留客户信息方面进行限制，二来加大对犯案者的惩罚力度，保障

互联网金融行业的有序健康发展。

【启示与思考】

从携程事件来看，虽然造成的后果并不严重，但是对于整个互联网金融领域来说，却

是应该引起足够的重视。

2013年，在“查开房”网站事件中，免费提供公民酒店入住详细信息查询的网站被曝

光，公民隐私遭大范围泄露。除此之外，快递单倒卖、母婴信息泄露……公众信息几乎处于

不设防的层次。可以说，携程网的安全漏洞正是时下信息安全的真实写照，其偶然之中有

着必然的因素。就安全本身来说，除了技术上的漏洞之外，缺乏严格的责任界定才是最大

的安全隐患。

之前，有媒体对携程网储存用户信用卡信息的做法提出质疑，并指出“银联明文规定

禁存信用卡信息”，然而携程网却以“系国际惯例”给予应对。孰是孰非难有明确判断，公

众信息安全建立在行业的自律和责任者的“自话自说”上，从根本上还是缺乏相应的法律

依据，外界的质疑和忧虑没有引起足够的重视。

没有统一的法律要求和安全要求，就不会有清晰的责任主体和保护标准，安全责任就

难以落实，个人信息也不可能获得保护。虽然目前我国的民法、刑法等法律法规中均有个

人信息保护的条文，但说法不具体、不明确，界定范围不清晰，并不具有操作性，无法打

击信息安全领域的违法犯罪行为，发挥不了保护的作用。

此次携程网泄露用户支付信息事件正发生在传统金融业与互联网金融激烈博弈期间，

这无疑是给监管部门提了一个醒。目前互联网金融面临日益严峻的风险和安全问题，随着

互联网金融的影响和规模逐渐扩大，迫切需要解决互联网金融信息安全保障、风险防范及

监管问题。从各大提供互联网金融的网站来看，除了要关注金融给自己企业带来利润的同

时，更应该把用户的利益放在第一位。

最新的一份报告显示，到2020年，将有逾2000亿台设备连入互联网。而作为目前

网民最多的国家，我们如何来保证上网安全已经是时不我待，我们也期待着市场的各方能

够共同从用户的安全着想，为他们驻好“篱笆”，免得黑客进入。

欢迎继续关注经典案例。

本文标签： 携程用户信息支付漏洞