携程漏洞事件暴露支付安全现状 CVV码不应保留

根据乌云漏洞平台的描述，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等重要用户信息均被泄露。这一事件使得携程招致巨大的用户信任危机，其官方微博也遭受大量用户指责。据携程表示，漏洞是由于该公司技术开发人员排查系统疑问时未及时删除临时日志而产生的，目前，这些信息已被全部删除。

不谈此次事件到底产生什么后果，先分享个来自携程用户讲述的亲身经历

携程出了这档子事，我一点也不稀奇。Why I'm not surprised?我就讲一个发生在我身上的事：记得是2011年吧，那会我在印尼出差，回国要途经香港转机需要住一天，就打电话给携程订酒店。

结果什么都谈好了，到了支付环节，携程说需要我的信用卡做担保，我说没问题。信用卡做担保，这不太正常了么？对吧？太正常了！结！果！携程那话务员就开始在电话里拿中文问我的信用卡号、有效期、CVV码以及身份证号！是真的“问”，然后要我把号码念出来，她再大声的重复一遍以校验。