3月份，烏云漏洞報(bào)告平臺(tái)公布的最新漏洞稱，攜程安全支付日志可遍歷下載，導(dǎo)致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin)。烏云網(wǎng)稱已將細(xì)節(jié)通知廠商并且等待廠商處理中。此外，攜程還被曝?cái)y程某分站源代碼包可直接下載。

[[115658]]

在這件事情的余波尚未完全過(guò)去的時(shí)候，烏云再度曝光了攜程網(wǎng)的漏洞，這次依然和信用卡有關(guān)。

按照烏云漏洞報(bào)告平臺(tái)的說(shuō)法，該漏洞為“攜程安全支付存在安全隱患”，只需要信用卡日期和卡號(hào)就可進(jìn)行消費(fèi)，漏洞發(fā)現(xiàn)日期為7月7日。

從漏洞發(fā)現(xiàn)者的實(shí)際演示來(lái)看，只需在支付時(shí)填寫一個(gè)合法的信用卡卡號(hào)，并填好有效期，攜程即可扣款成功。如果真的是這樣的話，那么用戶的信用卡很可能會(huì)遭遇盜刷等問(wèn)題。

隨后漏洞的發(fā)現(xiàn)者聯(lián)系了攜程官方，但攜程表示該漏洞為“誤報(bào)”，官方選擇忽略，具體回應(yīng)如下。

您好：

經(jīng)過(guò)與您的溝通與確認(rèn)，此問(wèn)題為誤報(bào)。

在攜程信用卡支付過(guò)程中，不同的銀行和支付渠道會(huì)要求提交不同的支付信息，有的銀行只需要卡號(hào)和有效期就可以完成支付，而不需要其他繁瑣的驗(yàn)證，其支付風(fēng)控措改由后端完成，表面上用戶“簡(jiǎn)單”了，但是控制措施會(huì)從其他方面彌補(bǔ)，總體安全性并無(wú)減弱。

另外，使用偽卡或盜用其他人的卡片信息進(jìn)行支付是違法行為，攜程旅行網(wǎng)提醒用戶妥善保管好自己的信用卡信息，以免影響用卡安全。攜程旅行網(wǎng)已經(jīng)通過(guò)了PCI認(rèn)證，將與銀行會(huì)對(duì)此類行為加強(qiáng)風(fēng)控管控，攜手銀行一起為用戶提供更安全與便捷的支付體驗(yàn)。

我們對(duì)此漏洞選擇了忽略，攜程旅行網(wǎng)非常重視各類安全問(wèn)題，如有疑問(wèn)請(qǐng)隨時(shí)與我們聯(lián)系，感謝支持與反饋!