在酒店門和瀏覽器安全門問題還未平息的時刻，一個更大范疇的行業(yè)居然也深陷信息安全事件之中，而這次的主角居然是旅游業(yè)中近期“大紅大紫”的攜程。從整個行業(yè)鏈來說，在酒店業(yè)遭遇信息安全危機之后，更大范疇的旅游業(yè)也開始陷入了這信息安全的漩渦，信息安全危機正呈擴大化的趨勢，同時由于網絡化、信息化等因素，由于信息產業(yè)本身帶來的安全問題也多種多樣。

“攜程問題“雖然較為復雜 但信息泄露的實質卻沒有改變

繼“酒店開房信息遭泄露”、“瀏覽器泄露用戶隱私”等事件之后，“攜程”又被爆有泄露用戶銀行卡信息風險。對此，攜程方面稱是公司在技術調試過程中出現(xiàn)短時漏洞。不過，業(yè)內專家則表示，并非低級技術錯誤這么簡單，“存儲了用戶信用卡的CVV碼，還泄露了，前一個是企業(yè)的基本道德問題，后一個是安全問題”。

漏洞報告平臺烏云網22日公告指出攜程安全支付日志可下載，導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼等)，有可能被黑客所讀取。昨日攜程方面承認是公司在技術調試過程中出現(xiàn)短時漏洞，目前沒有出現(xiàn)惡意下載有關數(shù)據(jù)和用戶信用卡被盜刷的情況，承諾未來倘若發(fā)生安全漏洞并引起用戶損失，攜程將給予全額賠付。

事件爆發(fā)引發(fā)三大質疑 信息安全底線在哪

【質疑一：并非低級技術 錯誤這么簡單】對攜程的解釋，原Google技術總監(jiān)胡寧認為，用戶信用卡信息泄露并非犯低級技術錯誤這么簡單，敏感信息需加密存儲、線上開調試功能需慎重、系統(tǒng)日志要及時清理，這都是常識。

烏云方面透露稱，攜程將用于處理用戶支付的服務接口開啟了調試功能，使所有向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務器，同時因為保存支付日志的服務器未做嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意駭客讀取。

有業(yè)內人士表示，問題是出在他們想把銀行發(fā)出的驗證信息都直接保存到本地。胡寧認為，根據(jù)事故報告,攜程可能并未故意存儲CVV信息，但其數(shù)據(jù)傳輸為明文，且線上竟長時間打開調試功能，導致系統(tǒng)日志中亦為明文，又未及時清理，所存儲的服務器還有安全漏洞，一步錯，步步錯。

【質疑二：超范圍保留用戶信用卡信息】有業(yè)內人士爆料稱，在該漏洞爆出前攜程系統(tǒng)里就已經能看到用戶信息，雖然屏蔽了卡號卻顯示有效期和CVN2，“銀聯(lián)相關標準嚴格要求商戶系統(tǒng)不得以任何方式存儲這些銀聯(lián)卡片敏感信息，有了這些數(shù)據(jù)，可以輕易偽造在線支付交易，客戶敏感信息和交易安全從何保證”。

對此，昨日攜程方面回應稱，公司對CVV的處理符合行規(guī)，與國內外主流電商網站相符，所留存的用戶支付信息是經用戶授權后保存的，利于用戶日后的支付便捷，如果用戶沒有授權，攜程將不予保存。

根據(jù)中國銀聯(lián)風險管理委員會發(fā)布的《銀聯(lián)卡收單機構賬戶信息安全管理標準》，各收單機構系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。由此可見，攜程日志中存儲的信息明顯超過該標準的允許范圍。汽車之家創(chuàng)始人李想則表示，“存儲了用戶信用卡的CVV，還泄露了，前一個是企業(yè)的基本道德問題，后一個是安全問題”。

【質疑三：以“常用卡”的名義存儲用戶信息】昨日，一家在線旅游網站人士表示，不少網站都會讓用戶勾選保留常用卡信息，消費者初次使用的時候需提供信用卡卡種、卡號、有效期、CVV2碼(即信用卡驗證碼)等一系列完整信息，然后提交支付，但第二次使用這張信用卡時，只需提供卡號后四位及CVV2碼就會完成這次支付操作，這也變相證明了是在本地存儲了用戶的相關信用卡的信息。

記者登錄攜程也發(fā)現(xiàn)，在用戶選擇銀行卡支付后，會提示用戶是否保存至常用信用卡以便下次方便支付，但攜程并未提示會記錄信用卡的相關信息。

有業(yè)內人士表示，知道了CVV碼和信用卡卡號就差不多能進行離線支付，泄露后風險很大，而且這種操作也會被銀行視作是持卡人本人操作，部分盜取信息的人也可以用來注冊購買其他產品服務。

法律保護為主、技術保護為輔 加密技術守衛(wèi)信息安全底線

從上述三大質疑來看，雖然牽涉很多技術問題，但不管是泄露企業(yè)還是受害者，法律和法規(guī)層面的監(jiān)管和防護必須成為主力，因為信息泄露一旦造成實際的損失，法規(guī)和法律是企業(yè)和用戶最終的保障。而就更客觀的技術層面而言，想要守護信息安全的線，采用加密技術進行數(shù)據(jù)本源防護則是最好的選擇。

加密直接作用于數(shù)據(jù)本身，通過改變數(shù)據(jù)原本內容的形式來達到安全防護的效果，而這種防護最大的特點就是即使數(shù)據(jù)和文檔最終還是泄漏了，加密的防護依然存在，只要算法不被破譯，數(shù)據(jù)仍舊是安全的。而隨著現(xiàn)代加密算法和技術的發(fā)展，破譯這件事也越來越變得“得不償失”了。同時，為了適應現(xiàn)代多樣的加密需求和安全環(huán)境，采用國際先進的多模加密技術則是其中最好的選擇。

多模加密技術采用對稱算法和非對稱算法相結合的技術，在確保加密質量的同時，其多模的特性能讓用戶自主地選擇加密模式從而更靈活地應對各種防護需求和安全環(huán)境。

不管是酒店門、瀏覽器泄密門還是“攜程”的泄密事件，信息安全問題正不斷擴大是不爭的事實。面對如此復雜而且混亂的國內甚至是國際信息安全形勢，加快立法，完善法規(guī)是遏制這種問題急速擴大的最佳方法。同時對于更本源、更深層的數(shù)據(jù)本身來說，采用靈活且具有針對性的加密軟件進行防護則是守護信息安全“底線”的絕佳策略。