攜程“泄密事件”：只是撕開了風險的一個口子

　　人民網上海3月28日電 國內知名在線旅游網站攜程旅行網（簡稱攜程）22日被曝用戶信用卡信息泄露之后，譚先生緊急掛失了他的工商銀行牡丹信用卡——他一周前剛通過攜程買了兩張機票。盡管不在攜程圈定的信息遭泄露的93個用戶名單之中，他仍然擔心信用卡被盜刷。

　　攜程表示當日進行了緊急處理，并通知泄密信息用戶更換信用卡后，并稱公司支付是安全的。攜程最新聲明稱，將對支付流程進行整改，不再保存客戶的銀行卡CVV信息（用來驗證信用卡），以前保存的CVV信息正在刪除。

　　攜程泄密只是撕開了多年來這個行業風險的一個口子。曾在大型旅游公司工作六年、擔任運營部門負責人的肖銘（化名）向人民財經透露，合規做法是用戶卡信息系統不得記錄，但實際上內部系統保存下來直接存到數據庫了，而且一般都是永久性保存，而不是定時刪除。

　　肖銘和一名搜索引擎公司的高級技術官告訴人民財經，信息的安全全靠職業操守和行業自律。但問題是行業和其從業人員能真的做到嗎？

　　“有人買數據，我拒絕了”

　　雖然攜程聲明將刪除以前保存的CVV信息，但其他公司的合規性卻難以確定，隱患仍存。“很早我就發現我們公司（指他原來就職的差旅公司）記錄了上萬張信用卡信息，而且每天都以幾百張的速度增加，”肖銘告訴人民財經，所有信息全部存在數據庫里面。

　　通過攜程、藝龍、去哪兒等在線旅游網站訂購機票酒店等，一般采取線上和線下支付兩種方式，線上是通過第三方支付機構和合作銀行，而線下則是POS機和電話支付。其中，電話支付要綁定用戶的信用卡，操作人員是旅游公司的客服（TC部門）。

　　“只要是國內做電話支付的差旅公司，都會記錄下客戶的信用卡全部信息，”肖銘透露，這是為方便常旅客下次消費直接調出記錄支付。除電話支付外，部分網上支付同樣需要提供信用卡信息。如果網站也做了記錄保存，和電話支付性質一樣。

　　除了信息泄露的風險，令人瞠目的是，這些留存的用戶姓名、身份證、所持銀行卡類別、卡號、CVV等信息因其能幫助挖到優質客源還成為同行私下競買的標的。肖銘透露，曾經就有人私底下找他買數據，但被他拒絕了。那時他所在的公司有5000條高端客戶信息。據他稱，信息按條數賣，價格從500元-2000元不等。為了不被其他差旅公司發現，通常買方不會全買，而是買幾百條打亂順序的記錄。

　　“這全靠職業操守”，肖銘說，大多數旅游公司IT部門管理都不嚴格，很多新人進來也可以碰觸到這些信息，備份整庫都可以。攜程暴露的問題，不僅僅是疏忽泄露信息這回事，而是支付流程風險和管理問題。同樣地，包括直接向航空公司購買機票時，用信用卡支付時依然需要向客服操作人員提供信用卡號和CVV碼。

　　而像去哪兒這樣的平臺網站，里面充斥的無數無資質的小代理商更需警惕，“一旦出問題，連人都找不到”。正是意識這些情況，肖銘選擇離開了這個行業。

　　為什么偏偏是攜程？

　　網站泄露信息并非第一次發生。2013年10月，浙江一個酒店數字服務商因安全問題泄露了大量用戶酒店消費記錄。從技術角度上來說，“任何系統都會愿意記錄這些信息，”上述資深技術人員向人民財經解釋，因為這些信息有價值，用戶下次來消費時支付流程會更快點。

　　目前在線旅游網站的主要競爭格局中，攜程主要做機票，藝龍做酒店，而去哪兒做平臺。他們之間比拼的不僅是價格，主要還有服務帶來的用戶體驗度。所以呼叫中心一度是最主要的銷售和服務渠道。比如，用戶的機票遇到退改簽、升艙、退費票、轉機等情況時還得靠打呼叫電話。

　　攜程公共事務部閆鑫24日對媒體的回復也印證了這一點，“部分信用卡發卡銀行為了提高支付成功率及客人感受，僅需輸入卡號及有效期即可支付，此并非源于攜程的要求?！鄙鲜黾夹g官對人民財經記者解釋，“整個支付系統是漏斗結構，多一個步驟就會流失一部分客戶。保存信息就是為提高轉換率，增加便捷度。所有的快捷支付都如此?！?/p>

　　在互聯網技術發展和普及后，在線旅游網站轉型互聯網，調整業務。2008年時，藝龍網有87%的業務量由呼叫中心帶來，至2012年降為20%，而攜程至2013年初還有30%業務是呼叫中心帶來，據稱在上海南匯攜程設有一個規模超過2000人的呼叫中心。肖銘的老東家也仍然靠呼叫中心帶來70%業務量。

　　攜程四大核心業務分別是酒店、機票、旅游和商旅。據稱其出票系統和預訂系統單獨與航空公司所談，而不通過同行都必須使用的中國民航信息集團公司中航信系統，交“過路費”。

　　相比而言，攜程的互聯網轉型似乎慢了。2012年攜程業績大幅下滑之際，成立無線部門，技術出身的梁建章回歸親自抓此項業務。但更早些時，互聯網巨頭騰訊和百度都已進入此行業。2011年，百度控股去哪兒網，騰訊為第二大股東，2012年騰訊又投資同程網，巨大的流量導入其競爭對手，使得攜程面臨巨大壓力。為此，攜程花了5億美元發起了一場價格戰，結果行業所有大的在線網站都參與進來，比如去哪兒網向所有旅游在線供應商免費開放。

　　此次攜程因技術調試造成的信息泄露是對梁建章的“技術互聯網”的一次打擊，此次出問題的正是梁親自抓的部門。攜程的反攻剛剛開始，卻遇上信息泄露事件，肖銘認為這必定對攜程的品牌和業務造成沖擊。?

?

?

相關鏈接：

?