携程信用卡信息泄露事件给我们普通用户的警示

周末事情多，没怎么上网，居然直到今天早上才发现携程把用户信用卡信息泄露的事情。春节时候刚刚在携程用信用卡买过机票，如果这次信用卡信息泄露事件不是孤立事件，那保不准自己的信用卡信息早就在黑市上流通了。于是立刻警觉了起来。

拨打了招行信用卡客服电话，经过数次选择编号之后，终于接通人工服务。

我：我在携程刷过卡，为了安全是不是应该先注销？

招行客服：我们已经与携程合作并联系了所有受影响的客户，如果我们没有与你联系，说明你的银行卡没有受到影响。

客服温温柔柔的，争论不过，只好先挂断电话再去研究一下这次信用卡泄露事件详情，看看是不是确实需要换卡来规避风险。

先去乌云查看了 漏洞说明 ——携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡 CVV 码、6 位卡 Bin)。

6 位卡 Bin 是什么？难道是密码？如果这样就太恐怖了。国内刷卡消费一般除了 CVV 码还需要验证密码，而有验证密码机制的信用卡被盗刷银行甚至都不用负责的，因为密码泄露是用户自己的过错。遂研究了一下 Bin 码，哦，是卡号前六位，用于识别发卡行的。

但是 CVV 码泄露，也是很严重的事情。国外很多网站刷信用卡只需输入卡号、卡有效期、CVV 码就能成功支付，即使在国内设置了密码，也根本不会被要求验证。

看来，只要自己信用卡在泄露名单上，这张卡是非换不可了。继续考据，发现受影响的用户是部分 21 号、22 号这两天在携程移动端刷过快捷支付信用卡的用户。如果仅仅只有被乌云白帽子“猪猪侠”曝光的安全日志泄露，那么受影响用户共 93 名，这 93 名用户信用卡都没有被盗刷。携程已经与这 93 名用户联系，并每人补偿 500 元。

如果携程的这个安全漏洞只出现了这一次并且幸运地首先被乌云白帽子猪猪侠发现，那么这 93 名用户之外的朋友都不用担心了。招商银行应该是出于同样逻辑，劝阻信用卡用户销卡换卡。

因为信用卡一直没有被盗刷，所以虽然对上述逻辑有些心底发虚，但还是克制了注销信用卡的冲动。

这次风波之后，我检讨了一下自己的网络支付习惯，在阿里旗下电商购物时都是通过支付宝进行支付，支付宝的快捷支付、余额支付、手机支付被盗刷都可以获得补偿或保险赔付，可以一个工作日内对被盗账户进行 2000 元以下补偿。

其他电商（比如团购网、携程）等，如果对方提供信用卡直接支付选择，我一般会选择信用卡支付，因为在支付宝开始提供广泛的移动支付服务之前，招行已经有了很便利的移动支付服务，当时便养成了使用招行支付的习惯。

携程这次的安全风险，让我反思，直接使用信用卡快捷支付是不是不太安全？

国外信用卡支付一般不需要验证密码，即使是国内有密码的信用卡，也是无需验证密码便可以完成支付。后来有了 Paypal，最初它关联信用卡之后，用户支付之时需要验证 Paypal 支付密码，后来 Paypal 也有了快捷支付服务，但身份验证过程还是有的。虽然使用 Paypal 之时，用户的财产安全系与 Paypal 一身，却比直接刷卡要安全。

由于信用卡是为线下支付而诞生的产品，它的网络支付如果还采用跟线下支付一样的方式便显得有些不合时宜。比如说，线下我持卡消费，有卡就能刷，通过判断我是否持卡便可以验证我的身份，线上是无法确认我是否持卡的，只要我知道必要的卡片信息就可以刷卡。

所幸，国内网络支付都是要求验证密码的，信用卡的网络支付还算安全。但是，大多国内信用卡都支持银联，并且也支持 VISA 或 Master。也就是说，国内信用卡大都可以进行国际网络支付，国外的网络支付大都是无需验证密码的。

假设你的信用卡信息以类似携程此次事故的方式出现在互联网，所有知道信用卡信息的人都可以在亚马逊、eBay、Fancy 刷爆你的信用卡。携程这次泄露的信用卡信息包括 CVV 码，足够完成大多国外电商的网络支付验证了。

考据到此处，我产生了一个疑问，CVV 码既然如此重要，银行难道不在意这一点吗？即使国内信用卡的网络支付要验证密码，可能不太在意这一点，国外银行也不在意吗？

答案是，银行很在意。中国银联官网的《银联卡收单机构账户信息安全管理标准》中，基本要求第一条加黑加粗明文显示——各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码（PIN）及卡片有效期。

CVV 属于卡片验证码，PIN 码指密码。携程因为首先违规保存了 CVV 码才使得此次信息泄露造成极大的安全风险。不过根据乌云漏洞说明，携程并没有泄露信用卡的有效期，并没有将完成一次支付所需输入的全部信息泄露干净。算是不幸中的万幸吧。

网页支付时，如果第三方没有关联银行卡进行快捷支付，第三方会调用相关银行的网络银行，用户在网络银行支付之后才会返回第三方网站，理论上第三方网站不会记录用户银行卡信息。移动支付时，同理，第三方应用可以调用银行移动应用来进行支付。本段所述两种情况，第三方都不会有记录银行卡信息的机会。

携程只有机会记录关联了快捷支付服务的信用卡和储蓄卡信息。此次泄露的信用卡信息全部来自关联了携程快捷支付的信用卡。

携程与支付宝的差别在于——支付宝作为网络支付先行者在诞生之初饱受质疑，所以支付宝比携程更加重视安全风险。我查看了支付宝与信用卡进行快捷支付的 帮助说明 ，支付宝开通各个银行快捷支付时，需要用户在支付宝一方输入的信息包括：用户姓名、身份证号、信用卡号、有效期、手机号码。只有当用户姓名、身份证、信用卡、手机号四项信息相符并通过短信验证了手机号的时候，用户才能成功开通快捷支付。用户也可以在银行这方开通支付宝快捷支付。也就是说，支付宝是阿里与银行合作的业务。

携程与银行的差别在于——银行比支付宝更加保守，为了提高安全性不惜为用户在网络支付过程中制造重重困难。携程却为了用户的支付体验，牺牲安全性。所有的网络支付服务都必须在安全和便利之间选择一个平衡点，携程选择的点距离便利近了些，便距离安全有点远。

携程的快捷支付与支付宝不同。支付宝的快捷支付是支付宝与银行的合作业务，支付宝需要验证用户身份证、银行卡、手机号码，只有三者身份都相符，才会为用户开通快捷支付服务。携程的快捷支付与银行无关。携程更应该把自己的快捷支付业务称为“常用信用卡信息保存”。携程快捷支付的工作方式是这样的，如果用户在使用信用卡支付购买商品时，勾选“保存至常用信用卡”，携程便会将用户每次刷卡所需输入的信用卡信息保存在携程服务器上，这样当用户下次在携程进行网络支付时，携程便无需用户重复输入信用卡卡号、有效期等信息，只需输入信用卡后四位、CVV 验证码、手机号码便可完成支付。

据说，虽然携程此举违规，却是行业惯例。为此，我拜托同事验证了一下亚马逊中国的一键下单服务是否跟携程一样追求便利同时牺牲安全性。亚马逊中国有一键下单服务，类似支付宝快捷支付和携程的常用信用卡信息保存，当用户在一键信用卡支付页保存了信用卡信息（包括信用卡号码、持卡人姓名、卡验证码、有效期、手机号），无须发送短信验证手机持有者便是下单者，就能够进行一键下单购买。亚马逊的做法与携程的思路一致，并非支付宝式的银行合作业务，而是将刷卡所需信息保存在自己的服务器，在用户需要再次刷卡的时候，帮助用户提交预置信息。如果在亚马逊刷卡者并非持卡人，持卡人只能选择联系发卡行取消支付。亚马逊中国的做法是国外信用卡网络支付的通行做法，所以一旦这些信息被盗，用户信用卡便可以被盗刷。

即使将我们对安全的要求降低到亚马逊的水平，携程此次安全事故仍然让人难以谅解。你有本事保存信用卡信息，你有本事别泄露啊！注意，这次携程信用卡信息泄露事故完全是因为携程内部操作失误和携程服务器、产品设计及软件架构的安全漏洞。去年那次沃尔玛的用户信息泄露，好歹是因为小偷从办公室撬走了硬盘。顺便，亚马逊至今没有爆出过信用卡信息泄露或被盗的消息。

也许携程会因为此次事故加强其安全性，但目前来说携程正处于信用等级狂降的留级察看阶段。作为普通用户，为了自身财产安全计，还是在能选择支付宝等第三方支付和网络银行及银行应用的情况下，将携程快捷支付的优先级调低吧。另外，对携程快捷支付用户亡羊补牢的建议是——

1、如果图方便，一定要使用快捷支付来进行网络支付，今后可以使用没有犯过此类低级错误的支付宝。

2、请暂时取消携程保存的常用信用卡关联，给携程相关部门制造压力，促使其更加重视用户数据保护。

3、在近三天进行过快捷支付的携程用户请联系发卡行，查询是否有安全风险，最好能够换卡。

4、在线下刷信用卡时，不要让收款方携带信用卡离开自己的视线，防止信用卡卡号、有效期、验证码被盗。验证码印在信用卡背面，所以为了泄密，不要给信用卡背面拍照。

最后提请所有读者注意：

不仅国内网络环境中存在信用卡信息外泄的风险，国外的网络环境也并不安全。

作为经常接触科技新闻的编辑，不需要搜索考据，立时就能会想起很多起信用卡信息泄露的安全丑闻。去年年末，美国第三大零售商塔吉特（Target）被黑客窃取了 4000 万张信用卡信息，传闻被盗信息甚至包括个人识别码（PIN 码，也就是个人密码）。

信用卡信息安全问题实在是怎样重视都不为过，如果这是一场考试，携程毫无疑问已经考砸了。