我认为携程的漏洞比乌云曝光的那些更危险！

因为这些漏洞是流程层面的。

 

3月23日，我借用别人的手机号拨打携程的电话4008206666，一位服务专员384409接待了我。

我表示，要订从上海去广州的票，这位专员用我借来的手机号注册了一个新的携程会员，姓名是被订票的乘机人D的。

携程专员向我问了乘机人D的姓名、身份证后，在携程专员的帮助下选好航班，准备定票。

在付款的时候，携程的服务专员将电话转至系统，在我输入了一个招商银行的卡号后，电话转回服务专员，服务专员讯问了该信用卡的有效期。(注意：我没有提供信用卡最后三位的数字！也没有提供信用卡主人姓名。)

服务专员表示：如果在30分钟之内支付成功，就可以了。因为银行要审核！

很快，一件可怕的事情出现了：我的手机几分钟之内就收到了信用卡被“预授权”的信息。

1490元钱被“预授权”！

而被刷的信用卡并不是登机人的！且我所给出的招商银行信用卡实际上已经是一张2013年年底刚刚更换的新信用卡，此前在携程上的最后一次订票记录为2013年3月。这意味着，招商银行没有核实CVV码的情况下，审核通过了这笔交易。

是的，在整个过程中，携程的服务专员从未核实过打电话的我的个人信息，没有核实过注册手机的机主是否为拨打电话订票的人，也没有核实过，打电话的人是不是乘机人。

这意味着：一、在携程上通过刷陌生人招商银行信用卡定机票，只要卡号和有效期两个信息；二、携程并未核实信用卡是否是乘机人本人的；三、携程并未采取任何措施向信用卡本人征询是否同意这笔交易。

23日晚，携程副总裁汤澜对我此次购票过程中产生的问题解释是，有的银行需要6个信息才能刷卡，但是招商银行可能只需要两个信息就能扣款。具体流程他也不熟悉，需要等待重听购票时的录音。

24日，携程公共事务部闫鑫回复我“信用卡的MOTO支付通道(即信用卡远程收款系统MOTO pay全称Mail Order andTelephone Order payment，主要为商家与消费者解决非面对面交易的支付问题)，客人大多只需要提交完整卡号，有效期及校验码即可用于支付，此方式符合国际惯例并且是国际上通用的网络支付方式；国内电商如果是采用MOTO支付通道，都是按此方式。”

(责任编辑：安博涛)