携程被曝存“支付漏洞” 93名用户已被通知换卡

　　据中国之声《新闻纵横》报道，漏洞报告平台“乌云网”，22号在官网上公布消息称：“携程网”安全支付日志存在漏洞，用户银行卡信息会被黑客任意读取，大量用户银行卡信息泄露，其中就包含持卡人姓名身份证、银行卡号等，该漏洞已经过携程确认。不过，昨天(23号)下午，携程网也发布了回应表示，共有93名用户的支付信息存在潜在风险，已经通知更换信用卡，并给与相应补偿。

　　携程被曝支付日志漏洞

　　现在购物、订票、甚至吃饭都可以通过互联网实现交易，面对越来越普遍、多样的网上支付手段，我们的信息安全又该如何保证？“携程”面对这次网络安全事故，有将如何解释？

　　主动披露携程存在漏洞的是乌云漏洞平台，这个位于厂商和安全研究者之间的安全问题反馈平台，在22号公布的信息显示，“由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取”。

　　360首席隐私官谭晓生这样分析，携程在调试过程中出现的漏洞。

　　谭晓生：他这次犯得错误，他调试的时候把这个东西存下来了，存这一步本身潜在来说就是存在问题的，像cvv码之类的东西是特别敏感的信息，尽可能不要存它，哪怕是调试过程中都不要存它。第二个就是他存的东西放到了一个别人从外部能够访问的(地方)。他和现实生活中这种情况很类似，他把这个信息记下来了，又没把它放好，又让别人能读到这些信息，问题是出在这。