携程“漏洞”又叩安全门

金融最大的隐患是什么？安全。3月22日18时18分，漏洞报告平台乌云曝光了携程支付日志存在安全漏洞，用户银行卡信息可被黑客任意读取。恰逢传统金融业与互联网金融激烈博弈之际，携程支付信息漏洞事件也再次拷问了网络支付的安全问题。

2011年的“CSDN泄密门”，导致大量网民受到隐私泄露的威胁，事件影响已经超出社交网站的范畴，蔓延至电子商务和银行业。网站不应该用明文存储用户密码信息，早应该成为血的教训，也基本上是业内同行的规则。

而在互联网金融快速发展的三年后，支付安全问题则更加引人关注。因为在线旅游行业是国内最早在机票和酒店领域实现信用卡预授权的行业，在支付宝和微信支付风靡之前，在线旅游行业几乎全部的机票、部分酒店、旅游度假以及其他更多类型产品，都需要在线支付。

携程此次受到质疑的主要问题，其实不是在于安全漏洞这么简单，更重要是支付日志的存在。目前网站针对CVV码的普遍做法，是暂存但不保留：用户在商户提交信用卡支付成功后，商户必须立即将CVV码信息删除；若提交信用卡支付未成功，商户可以将CVV码信息保存7天后清除。但这些规定携程却并没有严格遵守，所以才有了这次的信息外泄事件。

携程什么时候开始有这种日志打印？覆盖了多少客户的敏感信息？通过审计统计有多少人对这些文件进行了访问？能被一个人发现的问题，极有可能也被更多的人发现。系统日志中有信息又未及时清理，所存储的服务器还有安全漏洞，网站一些表面为了用户更方便的流程，实质上却是以牺牲用户网络安全为代价。

尽管和三年前的“CSDN泄密门”不同，这次其他网站并未暴露与携程一样的风险，但大数据时代的网络信息安全还是受到了拷问。对于已经备受诘问的互联网行业尤其是互联网金融来说，在这个时点出现这样的事件，并非是好消息。