3月22日携程浮现重大安全 漏洞，携程安全 领取日志可遍历下载，招致大量消费者银行卡信息泄露 (包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin) 。

只管 漏洞仅 连续了两个多小时，不过事件激发的恐慌仍在 连续 。当前看来，该 漏洞激发的 担心和愤慨大大超过了 漏洞造成的实际危害 本身 。

恐慌远超实际影响

依据携程官方的说法，当前并没有监测到有消费者浮现信用卡被盗刷 景象，且该 漏洞仅影响到了93名消费者，携程已经通过电话 告诉消费者改换信用卡，并赋予每人500元礼品卡作为赔偿 。

同时携程承诺若 产生盗刷，携程将赔偿消费者损失 。

国内顶级白帽安全团队Keen Team的安全专家 示意，被泄露的日志也并不像 传闻所说的不安全，在安全 领取日志中被 舛误记录的消费者敏感信息，包括信用卡号、信用卡有效期、信用卡CVV三位验证码是 通过AES加密后存储在安全日志中的 。在加密密钥没有对外泄露的状况下，AES的加密强度足以抵制来自民间的解密尝试，加密 解决过的消费者信息在 定然程度上还是得到保障的 。

依照上述解释，本次 漏洞 固然听上去惊悚，然而实际影响是：1、惟独3月21-22日消费的93名消费者受影响；2、携程将负担消费者损失；3、被泄露的日志也很难被黑客利用 。

不过消费者的负面情绪并没有由于这些解释而有所 弛缓，直到携程发出解释后，多家银行的客服电话 依旧被打爆，有消费者甚至愤慨得剪毁了绑定的银行卡，有消费者在携程官方微博中评论道，此事的重点不在于 漏洞，而在于违法存储消费者信息，而500元赔偿的行为也被指避重就轻 。

相比起实际损失，该事件激发的三大恐慌更为令人 担心 。

一、PCI DSS认证形同虚设？

PCI DSS即第三方 领取行业( 领取卡行业PCI)数据安全 标准，该 标准由VISA和MasterCard等机构牵头 制订， 领取公司都会被要求通过这一安全认证 。这一 标准规定CVV、追踪数据、磁条或PIN数据等特定信用卡信息不能被商户 保留 。

携程作为面市公司，在面市时应通过了这一安全认证，不过此次泄露的日志却显示携程明文记录了这些信息 。

一名安全行业资深人士 示意，PCI DSS含金量越来越低，通过认证后去把 标准认真落地的公司越来越少，通过PCI DSS更像是花钱买了一个牌照，并不 注明任何问题 。

这一说法 隐射了整个 领取安全行业的安全问题——这次 袒露问题的是携程， 其余通过PCI DSS 标准的公司甚至面市公司是不是存在同样的问题？消费者的信用卡敏感信息被多少公司记录着？下一家会是谁？

若PCI DSS 标准不足 管教力，通过这一 标准并不 象征着安全，那么 其余与 领取业务直接 有关的公司也将受到 定然的信赖危机 。

二、给央行扼杀在线 领取提供口实？

此次携程 漏洞浮现的 工夫相当 奥妙，就在本月央行紧急发文暂停线下二维码 领取、 虚构信用卡等面对面 领取服务， 只管央行的说法是出于安全考量，不过更多人情愿相信是移动 领取动了银联的奶酪 。

而携程这一 漏洞的浮现恰逢其时地 证实了在线 领取的风险，有 有关技术人士 泄漏，此次泄露是由于无线部门在手机APP调试过程中 保留了日志并在Web.config开了目录遍历，也便是说问题出在移动端，所以客观上这一事件的 产生 可以给央行封杀移动 领取提供口实 。

只管这一说法有 诡计论嫌疑，不过两起本无关联的事件激发的消费者 担心或影响到移动 领取 本身的进展 。

三、绑定信用卡危机？

只管此前就有消费者 担心过在移动 领取产品中绑定银行卡或信用卡是不是存在安全风险，不过由于腾讯和阿里的 大力推动，消费者的这一疑虑正在 肃清 。

事实上微信 领取和 领取宝也并未 产生过消费者银行卡信息大规模泄露事件，此前央视对 领取宝的质疑在 领取宝数次回应后影响力也逐步被 对消 。

不过这次携程的 漏洞直接 关涉到了消费者的银行卡安全，《风声》的导演高群书发微博称“ 保持不用网银，不绑定信用卡，是非常正确的 。”

有关于已经习惯在线 领取和移动 领取的消费者，此前不敢尝试或抱犹豫态度的消费者是受到这一影响的重要人群，携程的事件给了他们足够的理由 回绝绑定信用卡或 使用在线 领取 。

言而总之，携程此次 漏洞事件 本身的危害其实相当有限，而媒体大规模曝光、消费者的 宽泛 流传激发的恐慌以及连带效应远远超过了这一事件 本身，事件 连续仅两个小时，而要 肃清影响需求的 工夫则远不止两个月 。