五、攜程“泄密門”：過度收集用戶銀行卡信息

　　3月22日，烏云漏洞平臺(tái)發(fā)布消息稱，攜程系統(tǒng)存技術(shù)漏洞，可導(dǎo)致用戶個(gè)人信息、銀行卡信息等泄露。據(jù)烏云平臺(tái)稱，攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能，使部分向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。漏洞泄露的信息包括用戶的姓名、身份證號(hào)碼、銀行卡類別、銀行卡卡號(hào)、銀行卡CVV碼(即卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)以及銀行卡6位Bin(用于支付的6位數(shù)字)，上述信息有可能被黑客所讀取。

　　根據(jù)銀聯(lián)2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》規(guī)定，各收單機(jī)構(gòu)系統(tǒng)不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期等敏感賬戶信息。攜程記錄用戶信用卡信息的“過度收集信息行為”，直接導(dǎo)致了此次信用卡讀取高危危機(jī)。

　　一位安全領(lǐng)域技術(shù)高管表示，攜程網(wǎng)本次泄密事件的嚴(yán)重程度遠(yuǎn)遠(yuǎn)超過CSDN泄密事件。CSDN是數(shù)據(jù)庫數(shù)據(jù)泄漏，而這次是日志數(shù)據(jù)泄漏，更嚴(yán)重的是，日志數(shù)據(jù)里記錄跟錢相關(guān)的詳細(xì)數(shù)據(jù)。