“携程旅行网被曝支付日志存在漏洞，用户银行卡信息可被黑客任意读取。”前天晚间，一条关于携程旅行网信用卡支付出现漏洞的新闻引起用户极大关注。一时之间，换信用卡成为用户“斩断”安全隐患的不二做法，几大商业银行也都默默成立了专门的小组，为这一突发事件善后。

　　这是又一起互联网领域的信息安全事件。事件之中，我们需要厘清几个谜团。首先，此事的影响范围究竟有多少?为什么要换信用卡?是不是人人需要换卡?第二，这个“漏洞”的出现究竟暴露了什么问题?这是不是互联网安全领域的通病?解决了这几个关键问题，才能有效为互联网安全敲响警钟。

　　■谜团① 是不是人人要换卡?

　　昨天下午2点，携程更新了公告，称“经排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户”。携程表示，客服已通知相关用户更换信用卡，银行方面也会尽快协助用户办理换卡手续。

　　许小姐昨天因“携程用户信息泄露”一事折腾了很久。她21日深夜在携程旅行网使用快捷支付预定了上海往返广州的机票。昨天早上，有朋友向她推送了一条信息：你是不是在携程上定的机票?赶快换信用卡!

　　许小姐这才知道携程的用户信息泄露事件。她先登录携程网，取消了两张信用卡的绑定，然后致电招行要求换卡，“招行的客服告诉我，信用卡安全肯定没有问题，但为了以防万一，我还是换了卡。”许小姐告诉记者，周围经常出差的朋友昨天全都换了卡，但她同时十分疑惑，为什么要换卡，隐患究竟出在哪里?对此，昨天记者咨询了奇虎360公司副总裁、首席隐私官谭晓生。他解释称，快捷支付的使用需要三大元素：CVV码、持卡人姓名以及卡片有效期，同时满足这三个条件，就可以完成支付过程，“此次‘漏洞’中，持卡人姓名、身份证、CVV码都遭到了外泄，黑客只需猜对有效期就能破解，而一般来说，信用卡有效期为三年，这种年月组合十分易猜，因此才有需要换信用卡的说法。”

　　“这次事件的影响范围非常有限。”谭晓生同时说，如果最近一周在携程使用过信用卡快捷支付，最好更换信用卡以规避风险;若是近期没有使用过携程网，那么也没必要产生恐慌心态。实在不放心，建议设置网银单笔消费额度或者上限，开通短信或者微信提醒等方式以降低风险。

　　携程方面昨天表示，可能受影响的仅为3月21日与3月22日的部分交易客户。多位安全专家表示，这个说法比较可信。

　　■谜团② “漏洞”暴露了什么?

　　虽然携程事件的影响范围有限，但不少安全专家认为，从这一“漏洞”当中暴露出来的问题，才是需要反省的。

　　谷歌原技术总监胡宁表示，用户银行卡信息泄露，并非犯低级技术错误这么简单，“敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标，这都是常识。”他严厉指出，可能携程并未故意存储CVV信息，但其数据传输为明文，且线上长时间打开调试功能，导致系统日志中亦为明文，又未及时清理，所存储的服务器还有安全漏洞，可谓“一步错，步步错”。

　　“携程这次肯定违反了PCI-DSS的相关规定。”一位不愿具名的安全领域专业人士这样告诉记者。所谓PCI-DSS，指的是“第三方支付行业数据安全标准”，是一种旨在严格控制数据存储以保障支付卡用户在线交易安全的数据安全标准，由VISA和MasterCard授权的独立审查公司完成，认证过程包括6大领域12项要求。

　　“在PCI-DSS标准中，明确定义了哪些信息是可以保存，哪些信息是不能保存的，CVV这样的敏感信息是不能明文保存的。”上述人士认为，此事可以看出，一些安全标准从实施到维持是何等的艰难，“我相信携程已经是做得相对规范的公司了，一定还有更多未上市企业更缺乏规范。”

　　不过昨天携程方面在接受记者采访时否认了上述问题的存在，携程强调信息已被加密，并解释称，用户授权后，携程会保存非CVV信息，而未扣款成功的CVV信息会被暂存7天，目的是为了协助用户便捷支付，“携程的做法符合PCI-DSS规定。”

　　无论如何，这次事件与其说是技术上的漏洞，不如说是信誉上的危机，同时也再次为互联网公司的信息安全敲响警钟——建立用户信任可能需要若干年，毁掉它却只需要一天。

　　文汇报记者 徐晶卉 唐玮婕