攜程信用卡信息泄露事件昨日曝光后持續發酵，由于攜程用戶數量巨大，且在在線旅游業OTA行業樹大招風，各路好漢番茄雞蛋一起招呼，使得此事件大有鬧劇化和狗血化趨勢。一些不明真相的群眾受到別有用心的煽動，開始對用卡安全產生擔憂，以下安全牛不代表任何一方利益，僅僅擺一擺幾個基本事實和問題：

　　一、在烏云平臺上曝光的攜程漏洞是什么?

　　攜程用于處理用戶支付的安全支付服務器接口存在調試功能，將用戶的支付記錄用文本保存了下來。同時因為保存支付日志的服務器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意黑客讀取。

　　謂遍歷通常是指沿著某條搜索路線，依次對樹中每個結點均做一次且僅做一次訪問。這一被歸類為“敏感信息泄露”的漏洞，被指可能導致大量攜程用戶的信息曝光，包括：持卡人姓名身份證、銀行卡號、銀行卡CVV碼、6位卡Bin等非常敏感的內容。

　　二、漏洞產生的原因，是開發環節安全管理事故?

　　關于漏洞產生的原因，攜程官方的解釋為：技術開發人員為了排查系統疑問，留下了臨時日志，因疏忽未及時刪除。不過MediaV公司CTO胡寧通過微 博批評稱：“數據傳輸為明文，且線上竟長時間打開調試功能，導致系統日志中亦為明文，又未及時清理，所存儲的服務器還有安全漏洞”。

　　而據騰訊科技報道，知情人士透露攜程此次用戶信息泄露事件可能是無線研發推進過快而變相導致的。

　　某互聯網上市公司CTO接受媒體采訪時表示，不管是App還是Wap或Web，都只是產品的前端表現形式，所調用的數據源必然只有一個。新產品的上線流程一 般是 “開發機——內網測試機——發布員發布到外網”，每個環節都有QA測試，但在緊急或意外情況下，程序員會臨時去外網修改產品，這么做非常危險，因為跳過了 控制流程、跳過了發布員(跟產品開發不是一撥人)。

　　攜程是上市公司，應該有非常嚴格的控制，該CTO猜測是不小心把沒有過濾好的內網代碼目錄發布到外網了。如果是這種發布錯誤，問題并不嚴重，也就是版本控制不力——但如果是有員工跳過流程直接修改，就是特大問題，因為這意味著產品失去了對各環節和安全的控制點。

　　三、漏洞的性質：是安全漏洞還是違規操作?

　　正如明朝萬達董事長王志海所言：“攜程用戶信用卡及信息泄漏事件，攜程旅 行網回復避重就輕，有漏洞能理解，信息不加密也可只算不重視用戶隱私，重點是為什么要違規記錄用戶信用卡的cvv?作為號稱經過PCI認證的知名電商不應該不知道這是違法行為吧?”

　　至于攜程是否違規，或者具體說是否違反所謂PCI行規，目前看還不是問題的重點，因為合規也未必就能保證數據安全。(參看第五條)

　　四、漏洞真的修補了?

　　關于此次信用卡信息泄露漏洞，攜程官方的說法是：“經攜程排查，僅漏洞發現人做了測試下載，內容含有極少量加密卡號信息，共涉及93名存在潛在風險的攜程用戶，而且攜程已經修補了有關漏洞”。

　　攜程對數據泄露損害范圍判斷的依據是“經過排查，僅漏洞發現者做了測試下載”。真實情況如果真的如攜程所言，那么此次事件的實際數據泄露范圍相比攜程的用戶數量來說可謂微乎其微。

　　但問題的可怕之處在于，雖然攜程宣稱已經第一時間修補漏洞，但是中國互聯網的“攜程們”擅長亡羊補牢式安全措施，包括所謂“盜刷賠付”，“頭痛醫 頭，腳痛醫腳”并不能從根本上解決其安全開發、安全管理、安全意識等多個環節長期存在的制度性“漏洞”，而這個根本性問題不解決，更嚴重的安全事故幾乎不 可避免。

　　五、PCI合規是救命稻草?

　　攜程安全漏洞曝光后很多技術流大V(當然也有不少來自攜程的競爭對手)指責攜程沒有取得PCI DSS(指支付卡行業數據安全標準)認證資質。但實際上，由Visa、萬事達和美國運通等信用卡企業制定的PCI-DSS標準規范根本無法應對今天的信息 安全新形勢，例如美國第四大零售商Target去年12月創紀錄地泄露了1.1億美國人的消費信息(包括4000萬信用卡信息)，而受到黑客攻擊的 Target和Neiman Marcus兩家零售商都是PCI DSS標準的合規企業。Marcus的CIO在接受媒體采訪時指出，Marcus采取了比PCI標準更高的安全措施，但依然沒能阻止其用戶信用卡數據被黑 客竊走并盜刷。

　　Garnter安全分析師Avivah Litan曾指出：“Targtet信用卡數據泄露表明，PCI標準中沒有任何一條內容，能夠幫助Target偵測并組織黑客的入侵。”

　　而PCI顧問James Huguelet則指出：PCI標準最大的安全問題在于，該標準雖然要求對靜態數據加密，但是并不要求企業對數據傳輸加密，也就是在整個交易流程鏈中，數據都未被要求加密。(這也就是攜程為什么在漏洞出現后依然一口咬定自己遵守了PCI規范的原因，準確講攜程確實遵守了一個有著嚴重安全缺陷的規范，從這一點來看，PCI合規并非一件多么光彩的事情)