攜程信用卡信息泄露事件昨日曝光后持續(xù)發(fā)酵，由于攜程用戶數(shù)量巨大，且在在線旅游業(yè)OTA行業(yè)樹大招風(fēng)，各路好漢番茄雞蛋一起招呼，使得此事件大有鬧劇化和狗血化趨勢。一些不明真相的群眾受到別有用心的煽動，開始對用卡安全產(chǎn)生擔(dān)憂，以下安全牛不代表任何一方利益，僅僅擺一擺幾個基本事實和問題：

一、在烏云平臺上曝光的攜程漏洞是什么？

攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能，將用戶的支付記錄用文本保存了下來。同時因為保存支付日志的服務(wù)器未做校嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被任意黑客讀取。

謂遍歷通常是指沿著某條搜索路線，依次對樹中每個結(jié)點均做一次且僅做一次訪問。這一被歸類為“敏感信息泄露”的漏洞，被指可能導(dǎo)致大量攜程用戶的信息曝光，包括：持卡人姓名身份證、銀行卡號、銀行卡CVV碼、6位卡Bin等非常敏感的內(nèi)容。

二、漏洞產(chǎn)生的原因，是開發(fā)環(huán)節(jié)安全管理事故？

關(guān)于漏洞產(chǎn)生的原因，攜程官方的解釋為：技術(shù)開發(fā)人員為了排查系統(tǒng)疑問，留下了臨時日志，因疏忽未及時刪除。不過MediaV公司CTO胡寧通過微博批評稱：“數(shù)據(jù)傳輸為明文，且線上竟長時間打開調(diào)試功能，導(dǎo)致系統(tǒng)日志中亦為明文，又未及時清理，所存儲的服務(wù)器還有安全漏洞”。

而據(jù)騰訊科技報道，知情人士透露攜程此次用戶信息泄露事件可能是無線研發(fā)推進(jìn)過快而變相導(dǎo)致的。

某 互聯(lián)網(wǎng)上市公司CTO接受媒體采訪時表示，不管是App還是Wap或Web，都只是產(chǎn)品的前端表現(xiàn)形式，所調(diào)用的數(shù)據(jù)源必然只有一個。新產(chǎn)品的上線流程一般是 “開發(fā)機(jī)