3月22日，漏洞报告平台乌云网发布了一条网络安全漏洞信息，指携程旅行网支付日志存在重大漏洞，或导致大量用户银行卡信息泄露，这些信息包括持卡人姓名、卡主身份证号码、银行卡号、所持银行卡类别、CVV码、用于支付的6位数字等。携程随后承认存在这一漏洞。

相关报道称，有携程客户已经因此而遭受损害。微博实名认证为广西易搜科技有限公司CEO的严茂军在微博上表示，“早在2月25日就致电过携程我绑定携程的几张信用卡被盗刷十几笔外币的事件，当时他们回复系统安全正常。”多家媒体报道称，此前早有携程用户对于携程支付安全提出过质疑，但携程回应称携程采用的信用卡支付方式符合国际惯例，且公司内部有足够的风险把控能力。对此，有网络安全专家在媒体上表达了对携程的担忧：“从目前情况看，携程的支付系统的确存在很多不确定性，风险程度很高。除了黑客盗取信息，公司内部对用户信息管理情况也令人担忧。”

这里所谓“公司内部对用户信息管理情况”是什么情况?这其实就是携程违规存留客户银行信息的不当行为。早在2008年，中国银联风险管理委员会就发布了《银联卡收单机构账户信息安全管理标准》。这个标准明确规定，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。而这个规定的内容，正是世界上所通行的信用卡支付方式的惯例。

(责任编辑：)