攜程信用卡信息泄露事件昨日曝光后持續(xù)發(fā)酵，由于攜程用戶數(shù)量巨大，且在在線旅游業(yè)OTA行業(yè)樹(shù)大招風(fēng)，各路好漢番茄雞蛋一起招呼，使得此事件大有鬧劇化和狗血化趨勢(shì)。一些不明真相的群眾受到別有用心的煽動(dòng)，開(kāi)始對(duì)用卡安全產(chǎn)生擔(dān)憂，以下安全牛不代表任何一方利益，僅僅擺一擺幾個(gè)基本事實(shí)和問(wèn)題：

一、在烏云平臺(tái)上曝光的攜程漏洞是什么？

攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能，將用戶的支付記錄用文本保存了下來(lái)。同時(shí)因?yàn)楸４嬷Ц度罩镜姆��?wù)器未做校嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過(guò)程中的調(diào)試信息可被任意黑客讀取。

謂遍歷通常是指沿著某條搜索路線，依次對(duì)樹(shù)中每個(gè)結(jié)點(diǎn)均做一次且僅做一次訪問(wèn)。這一被歸類為“敏感信息泄露”的漏洞，被指可能導(dǎo)致大量攜程用戶的信息曝光，包括：持卡人姓名身份證、銀行卡號(hào)、銀行卡CVV碼、6位卡Bin等非常敏感的內(nèi)容。

二、漏洞產(chǎn)生的原因，是開(kāi)發(fā)環(huán)節(jié)安全管理事故？

關(guān)于漏洞產(chǎn)生的原因，攜程官方的解釋為：技術(shù)開(kāi)發(fā)人員為了排查系統(tǒng)疑問(wèn)，留下了臨時(shí)日志，因疏忽未及時(shí)刪除。不過(guò)MediaV公司CTO胡寧通過(guò)微博批評(píng)稱：“數(shù)據(jù)傳輸為明文，且線上竟長(zhǎng)時(shí)間打開(kāi)調(diào)試功能，導(dǎo)致系統(tǒng)日志中亦為明文，又未及時(shí)清理，所存儲(chǔ)的服務(wù)器還有安全漏洞”。

而據(jù)騰訊科技報(bào)道，知情人士透露攜程此次用戶信息泄露事件可能是無(wú)線研發(fā)推進(jìn)過(guò)快而變相導(dǎo)致的。

某 互聯(lián)網(wǎng)上市公司CTO接受媒體采訪時(shí)表示，不管是App還是Wap或Web，都只是產(chǎn)品的前端表現(xiàn)形式，所調(diào)用的數(shù)據(jù)源必然只有一個(gè)。新產(chǎn)品的上線流程一般是 “開(kāi)發(fā)機(jī)