怎麼看待「攜程漏洞 導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼)」這一漏洞？

存儲CVV碼 不是違法的么。我凌亂了。

---

因為之前腦子抽筋了，在兩個問題里重複複製了相同的答案，現在關閉此答案的評論並禁止轉載，希望討論的請移步：攜程信用卡信息被泄露，除了更換信用卡還有什麼別的好方法處理么？

帶來不便請諒解

----------------------------------------------------------------------------------------

那個…知乎上第一個贊同破百的答案，雖然好像是個段子…

然後…已經有地方轉載了，果然也沒提出處，而且排版很爛。有必要申明一下我的轉載規則：1.可以轉載 2.可以不注本人名字 3.必須註明來源知乎或知乎用戶 4.如全文轉載或整段轉載，必須在首尾加引號，且不可刪除段間的換行回車。謝謝

----------------------------------------------------------------------------------------

攜程出了這檔子事，我一點也不稀奇。Why I"m not surprised?我就講一個發生在我身上的事：

記得是2011年吧，那會我在印尼出差，回國要途經香港轉機需要住一天，就打電話給攜程訂酒店。

結果什麼都談好了，到了支付環節，攜程說需要我的信用卡做擔保，我說沒問題。信用卡做擔保，這不太正常了么？

對吧？太正常了！

結！果！攜程那話務員就開始在電話里拿中文問我的信用卡號、有效期、CVV碼以及身份證號！

是真的「問」，然後要我把號碼念出來，她再大聲的重複一遍以校驗。

我當時就崩潰了，卧槽這號碼是隨便說的嗎？有信用卡號、有效期、CVV碼這三個東西，網上就可以隨便刷我卡了好嗎？

但是沒辦法，酒店必須得訂，當時只有攜程訂方便，我其他的方式根本不知道。

訂完酒店嚇的我都快尿了，回國之後立馬cancel信用卡重新辦了一張。

這還沒完，我之後和攜程投訴，電話打了快一小時，他們那的經理顯然完全不理解我在說什麼。先一個勁的問說你是怕自己念卡號被別人聽去了嗎，那你找個僻靜地方唄。（吐血不止）然後又一個勁的跟我賭咒發誓保證他們的話務員不會盜用我的卡片信息，說攜程話務員是well trained。卧槽你去銀行取錢，然後銀行因為信任自己的員工就讓你把密碼直接說出來，這他媽是間諜片對暗號呢嗎？我當時非常生氣，我說要這樣，我哪天去你們公司應聘話務員，一旦開始工作我隨便記住哪個客戶的信用卡信息，我刷個幾千上萬，神仙也查不出來。然後怎麼講也講不通，感覺他們就不認為這是個事，氣的我就直接把電話掛了。

這還沒完呢，又過了一年，我也是沒長記性，異地考托福又想通過攜程訂酒店，又管我要信用卡信息，到了CVV的時候說讓我按鍵盤輸入。我一陣那個欣慰啊，心說我的投訴終於有用了，這幫傻X終於明白了這東西不能讓人看見，我容易嗎我。然後我心裡甜滋滋的輸入了CVV並按了#號，然後就聽到話務員的甜美聲音「王先生您剛才輸入的CVV是123沒錯吧？」。

我當場差點沒一口血噴出來，這！尼！瑪！有！什！么！意！義！嗎？

攜程豈止是存儲CVV嗎，簡直就是沒有對這些有重大價值可以給客戶造成重大損失的信息有絲毫的重視，他們出了這種事，簡直太正常了，太正常了。

---

不算違法。不讓存卡號/有效期/cvv這個是visa/master/銀聯等卡組織對「收單機構」（如銀聯商務、杉德）的要求，並不針對攜程這種「商戶」。

可問題是存這個會造成非常大的安全風險，如大家現在所了解的，掌握了這些信息就可以直接支付了，本次事件暴露的是兩方面因素：

1、攜程本次因網路安全問題泄漏了部分信用卡信息；

2、攜程的業務設計上對卡號/有效期/cvv等敏感信息未有可靠的防護；

很多網路安全高手的焦點都集中在 1 ，這是容易修補的，可真正要命的是 2 ，這點上是要出大問題的，即使不是這次調試介面泄漏，也存在各種內部外部的威脅導致敏感信息的泄漏，例如內部惡意人員作案等。

其實除了攜程，還有一些企業是這麼乾的，主要的目的應該是為了提高用戶的體驗，簡化支付流程。這個問題要改相當麻煩，而且從目前的監管看，是沒有強制要求的，出了問題也很容易擺脫賠付責任，這個風險會直接傳遞給銀行。

---

各行各業都是亂象叢生，知乎現在也得學百度

---

推薦閱讀：