针对上周六乌云漏洞平台曝出的携程网安全支付日志漏洞问题，携程也确认该漏洞的存在。携程表示，目前已修复该漏洞，用户信息安全未受影响，并已通知有风险的93名用户更换信用卡。但这一漏洞事件引发争议，有安全人士认为，携程保存客户银行卡信息属于违规行为，携程安全隐患可能并未根除。

上周六，漏洞报告平台乌云网在其官网上公布了一条网络安全漏洞信息，由于携程开启了用户支付服务借口的调试功能，支付过程中的调试信息可被任意黑客读取。安全日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡卡号、银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。

对此，携程官方当晚就回应称，这是在技术调试过程中出现的短时漏洞，已经在消息发布后两个小时之内修复，可能受影响的为3月21日与3月22日的部分交易客户，除了漏洞发现人做了少量的测试下载并已全部删除外，没有出现恶意下载有关数据的情况，用户的信息安全没有受到影响。

另外，携程还同各大银行联系核实，获悉目前也没有出现用户信用卡被盗刷的情况。携程已通知93名有潜在风险的用户更换信用卡。携程将继续进行网络安全的核查工作，如果有用户因为该漏洞造成财产损失，携程将赔偿损失。

本来此事应该随着愉快的周末被人们淡忘，但是可能是由于此次事件与银行卡信息相关，引起的轰动效应较大。而携程对泄密事件的一些细节却含糊其辞更是让人质疑。

有安全人士认为，携程保存客户银行卡信息属于违反银联的规定。其实，此次携程安全漏洞的关注焦点，也就在于携程是否违规保存了用户的信用卡CVV码信息。

所谓CVV安全码，即信用卡背面签名条后7位斜体数字的末三位，是进行网络和电话交易时的安全特征，是属于高度机密的用户信息。相当于信用卡 第二密码 需要妥善保管。

根据中国银联发布的《银行卡收单机构帐户管理标准》，各收单机构系统只能存储用于交易清分、卡片验证码、个人标识代码(PIN)及卡片有效期。磁道信息、卡片验证码、个人标识代码、卡片有效期只用于完成银联卡交易，不能用于除此之外的任何其他用途。

而此次漏洞事件就是由于携程记录了用户的CVV代码。但是携程官方表示，在用户授权后，携程会保存非CVV信息，为了降低用户费力度与协助用户便捷支付，而未扣款成功的CVV信息最多会被暂存7天，符合PCI-DSS规定，携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。

业内人士表示，携程可能并未故意存储CVV信息，但其数据传输为明文，且线上长时间打开调试功能，导致系统日志中亦为明文，又未及时清理，所存储的服务器还有安全漏洞。此外，即使对CVV信息只存储7天，同样也是违反PCI规定的。并且，有消息称，携程此前一直在申请PCI认证，但并未通过。

对于携程保留用户CVV信息是否违规是专业人士关心的焦点，而对于广大用户来说，更加关心的是到底有多少用户受到影响，携程作为国内在线旅游市场份额最大服务商，携程日均酒店预订、票务预订等业务量以十万计。不少网友表示，这样大规模的一家企业，即便是如携程所表示仅21日、22日的部分交易客户存风险，难道仅仅是93位吗?

业内人士表示，携程是行业巨头，又是上市公司，居然也在安全问题上犯这样的低级错误，只能说没有把用户的利益放在第一位，同时也反映出当前中国互联网界整体安全意识淡薄的现状。

虽然携程已通知存在潜在风险的93名用户更换信用卡，通过与银行沟通，目前并没有发生携程用户写用卡被盗刷的情况。但风险并没有得到根本解除。

金山毒霸安全专家李铁军分析称，其实，该事件并没有根本上解决风险的可能，因为从目前来看携程违反了银联此前禁止记录CVV的规定。 结合此前携程支付方面受到的安全质疑，携程在之前或还存在记录用户CVV的嫌疑。

微博实名认证为广西易搜科技有限公司CEO的严茂军昨日发表微博称， 早在2月25日就致电过携程我绑定携程的几张信用卡被盗刷十几笔外币的事件，当时他们回复系统安全正常。

此外，还有网友指出，即便现在信用卡没有被盗刷，黑客还是有可能把泄露的信息保存起来静默一段时间再动手，而到时被盗刷的原因也很难判断。

从此次携程曝出的漏洞来看，其实，这不仅仅是携程一家，在很多电商平台在支付时只需要输入银行卡后4位和CVV码即可完成支付。电商资深人士鲁振旺表示，这就说明，电商平台在服务器上保存了用户的关键信息，这是严重违规的行为。

或许这些网站在进行这些不规范操作的时候未必心存恶念，它们更多的可能只是为了提供更简洁的流程，提供更好的体验去留住用户，以便在竞争中取得领先地位，但实质上，却是以牺牲用户网络安全为代价的。