這兩日，關于攜程曝出的信用卡安全支付漏洞事件被鬧得沸沸揚揚。3月22日，據專業漏洞報告平臺烏云網公布，攜程安全支付日志可下載，導致用戶銀行卡信息泄露(包含持卡人姓名、身份證、銀行卡號、卡CVV碼、6位卡Bin)。

　　事件發生后，攜程做出了相關回應。攜程表示：“攜程的技術開發人員之前是為了排查系統疑問，留下了臨時日志，因疏忽未及時刪除，目前，這些信息已被全部刪除。”另據攜程排查：“除了漏洞發現人做了少量的測試下載并已全部刪除外，沒有出現惡意下載有關數據的情況。經各銀行反饋，沒有發生攜程用戶信用卡被盜刷的情況”。攜程表示，未來如果因安全漏洞引起用戶損失，攜程將承擔全部責任并給予賠付。

　　雖然從目前看來，事件的影響似乎未及想象中那般惡劣。但從人們對該事件的關注程度及各方評論來看，這次波及全國的信用卡信息大泄露，無疑為日益增長的網絡支付市場帶來了不小的沖擊。

　　從技術層面講，此次事件是攜程用于處理用戶支付的安全支付服務器接口存在調試功能，將用戶支付的記錄用文本保存了下來。同時因為保存支付日志的服務器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意駭客讀取。

　　然而，在此次事件中，攜程保存客戶信息、特別是對用戶的CVV代碼的記錄是明顯違反銀聯規定。特別是PCI-DSS(第三方支付行業數據安全標準)明確規定不允許存儲CVV，而作為支付頁面通過了PCI認證的攜程來說，做出這樣的舉動不禁令業界嘩然。

　　或許攜程此舉并非故意存儲CVV信息，但其數據傳輸為明文、線上長時間打開調試功能、系統日志中亦為明文且未及時清理的做法，明顯違反了“敏感信息需加密存儲、線上開調試功能需慎重、系統日志要及時清理、服務器安全性要達標”等常識問題。加之其所存儲的服務器存在安全漏洞，一系列的因素導致了如今攜程用戶“一夜之間換卡忙”的局面。

　　在網絡安全界，永遠沒有絕對的安全，安全就是一場攻防戰。那么，是否我們消滅漏洞，就能夠保護好信息安全？

　　攜程漏洞的曝出也許不是偶然的事情，但也絕非當前互聯網信息安全中的個例。攜程泄漏門事件告訴我們：決定網絡安全的攻防戰勝負的，絕不僅僅只是技術的問題，而是包含了技術、安全意識、制度、監管、信用機制等一系列因素。

　　在此次事件中，我們并不主張以最大的惡意去揣測攜程的一系列不規范操作，但攜程技術人員的操作行為已然暴露出當前從業人員的安全意識相當淡薄;此外，攜程作為已通過PCI-DSS認證的企業，卻做出記錄CVV碼這樣的違規行為，我們不禁要問，沒有監管到位的認證，是否只是一個擺設？

　　另外，攜程“泄露門”事件對正在發展中的互聯網金融無疑是重重一擊，同時損失的，還有整個中國互聯網長久以來建立起來的公信力。

　　如今，網絡支付已是大勢所趨，互聯網給我們帶來便捷的同時必然帶來了安全問題。攜程此次的“泄露門”事件也或許會成為中國網絡支付的一次標志性安全事故。在敲響警鐘的同時，我們更希望這次事件會再次讓中國的網絡安全界認識到：任何以犧牲網絡安全的代價的做法，都將會給互聯網的發展帶來毀滅性的打擊。

　　正如業內安全專家安全寶聯合產品副總裁吳翰清對此次事件的評論：“對攜程來說，這次的事件與其說是技術上的漏洞，不如說是信譽上的危機。同時也讓我們看到了安全的重要性：建立用戶信任可能需要若干年，毀掉它卻只需要一天。”對于整個互聯網來說，又何嘗不是如此？重視網絡安全，莫讓互聯網的千里之堤，潰于缺乏網絡安全防護的蟻穴。