存儲用戶支付信息、明文保存用戶密碼……網(wǎng)站進行這些不規(guī)范操作，表面上是為了提供更簡潔的流程，實質上卻是以犧牲用戶網(wǎng)絡安全為代價。

　　攜程被曝支付日志存在漏洞，用戶銀行卡信息可被黑客任意讀取。這件事情引起的震動頗大，周圍很多人第一時間致電發(fā)卡銀行，請求更換信用卡或掛失，因接入用戶過多，一些銀行客服電話還遭遇占線，這是以前從未遇到過的。

　　盡管爆出消息的烏云漏洞平臺在報告時措辭比較專業(yè)，但“可被任意駭客讀取”幾個字消費者還是懂的，這也是恐慌的根源。

　　事件發(fā)生后，攜程在微博上說“向用戶誠懇道歉”，并稱漏洞已修復，承諾愿意為未來因安全漏洞引起的用戶損失承擔賠付責任。但在這份“申明”中，對泄密事件的一些細節(jié)卻含糊其辭，沒有直面的勇氣。

　　比如，攜程為什么要“將用戶支付的記錄用文本保存了下來”？在一月份曾有媒體質疑攜程網(wǎng)的支付安全性，當時攜程明確回復說“攜程網(wǎng)的后臺不會記錄用戶的支付信息”。是當初在撒謊，還是后來又“變壞”？網(wǎng)站不應保存CVV現(xiàn)在基本上是業(yè)內同行的規(guī)則。

　　再比如，即便保存了用戶信息，為什么要用明文存儲？2012年CSDN泄密事件，引起廣泛反思的，就是網(wǎng)站不應該用明文存儲用戶密碼信息。教訓如此嚴重，攜程再犯這種錯誤，實在不該。

　　關于網(wǎng)站在用戶支付過程中該如何保護用戶信息，國內外相關標準不止一個，國際上比較權威的是PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標準)，加入此標準認證的企業(yè)都要接受嚴苛的年度安全評估，并且每個季度都在接受PCI認證要求的ASV弱點掃描。但國內主動進行這項認證的網(wǎng)站只是少數(shù)，去年底，還有媒體報道未能在攜程上找到PCI-DSS認證標識。

　　攜程是行業(yè)巨頭，又是上市公司，居然也在安全問題上犯這樣的低級錯誤，只能說沒有把用戶的利益放在第一位，同時也反映出當前中國互聯(lián)網(wǎng)界整體安全意識淡薄的現(xiàn)狀。存儲用戶支付信息、明文保存用戶密碼……網(wǎng)站進行這些不規(guī)范操作的時候未必心存惡念，它們很多只是為了提供更簡潔的流程，以表面上更好的體驗留住用戶，以便在競爭中取得領先地位，但實質上，卻是以犧牲用戶網(wǎng)絡安全為代價。