携程用户银行资料泄露原因大揭秘

“携程在手，说走就走”，相信经常旅游或出行的人对这句话是很熟悉的，它就是携程旅行网的广告语。而这看起来这么轻松的话语，背后却隐藏着信息泄密的风险！

3月22日晚间，漏洞报告平台乌云网在其官网上公布了一条重大网络安全漏洞信息，指出携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露。

作为国内在线旅游市场份额最大服务商，携程日均酒店预订、票务预订等业务量以十万计，消息一经爆出，引发社会各界密切关注。很多携程用户赶紧到银行解除绑定信用卡。携程最新回应称，乌云所曝信息系此前技术人员未删的临时日志，已在两小时内修复，并已通知93名潜在风险用户更换信用卡并适当补偿，尚未发现携程用户信用卡被盗刷情况。

据悉，事件根本原因是携程违反银联规定本地保存银行卡信息：携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。而根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》中命令禁止本地保存银行卡信息：“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码（PIN）及卡片有效期。”

除此之外，携程服务器安全配置不严格：携程用于保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。遍历通常是指沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问，遍历漏洞可导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。

分析师表示，漏洞早已暴露，忽视信息安全必然付出惨重代价：携程的信息安全漏洞早在2009年之前就已经多次被用户质疑，但均未引起公司足够重视。2014年1月携程再次被中国网等媒体指出储存信用卡敏感信息存在泄露风险，携程网回应采用的信用卡支付方式符合国际惯例，对自身的信息安全问题再次选择忽视。信息安全无小事，忽视其重要性终酿成严重恶果。

信息安全事件频发，行业增速将显著加快：“棱镜门”事件后，国内连续发生了如家等快捷酒店开房记录泄露、中国人寿80万保单信息泄露，搜狗手机输入法漏洞导致大量用户信息泄露等恶性信息安全事件，315晚会上央视也曝光了二维码等网银支付的安全漏洞。就在前几日，多家境外媒更是曝光了一条令人震惊的消息：美国国家安全局早在三年前就已经通过“后门”程序入侵了华为总部服务器！一系列严重的信息安全事件使政府、企业等各方充分意识到抓紧信息安全建设的重要性和紧迫性，行业增速将显著加快。

从携程“泄密门”事件可以看出，不管是什么类型的企业，尤其是拥有大量用数据的企业，一定要在本源上做好数据的安全防护工作。棱镜软件，专注数据安全与管理10年，致力于企业数据保护专业服务，为数千家企业提供了数据安全解决方案。