攜程“泄密事件”：只是撕開了風(fēng)險(xiǎn)的一個(gè)口子

　　人民網(wǎng)上海3月28日電 國(guó)內(nèi)知名在線旅游網(wǎng)站攜程旅行網(wǎng)（簡(jiǎn)稱攜程）22日被曝用戶信用卡信息泄露之后，譚先生緊急掛失了他的工商銀行牡丹信用卡——他一周前剛通過攜程買了兩張機(jī)票。盡管不在攜程圈定的信息遭泄露的93個(gè)用戶名單之中，他仍然擔(dān)心信用卡被盜刷。

　　攜程表示當(dāng)日進(jìn)行了緊急處理，并通知泄密信息用戶更換信用卡后，并稱公司支付是安全的。攜程最新聲明稱，將對(duì)支付流程進(jìn)行整改，不再保存客戶的銀行卡CVV信息（用來驗(yàn)證信用卡），以前保存的CVV信息正在刪除。

　　攜程泄密只是撕開了多年來這個(gè)行業(yè)風(fēng)險(xiǎn)的一個(gè)口子。曾在大型旅游公司工作六年、擔(dān)任運(yùn)營(yíng)部門負(fù)責(zé)人的肖銘（化名）向人民財(cái)經(jīng)透露，合規(guī)做法是用戶卡信息系統(tǒng)不得記錄，但實(shí)際上內(nèi)部系統(tǒng)保存下來直接存到數(shù)據(jù)庫(kù)了，而且一般都是永久性保存，而不是定時(shí)刪除。

　　肖銘和一名搜索引擎公司的高級(jí)技術(shù)官告訴人民財(cái)經(jīng)，信息的安全全靠職業(yè)操守和行業(yè)自律。但問題是行業(yè)和其從業(yè)人員能真的做到嗎？

　　“有人買數(shù)據(jù)，我拒絕了”

　　雖然攜程聲明將刪除以前保存的CVV信息，但其他公司的合規(guī)性卻難以確定，隱患仍存?！昂茉缥揖桶l(fā)現(xiàn)我們公司（指他原來就職的差旅公司）記錄了上萬(wàn)張信用卡信息，而且每天都以幾百?gòu)埖乃俣仍黾?，”肖銘告訴人民財(cái)經(jīng)，所有信息全部存在數(shù)據(jù)庫(kù)里面。

　　通過攜程、藝龍、去哪兒等在線旅游網(wǎng)站訂購(gòu)機(jī)票酒店等，一般采取線上和線下支付兩種方式，線上是通過第三方支付機(jī)構(gòu)和合作銀行，而線下則是POS機(jī)和電話支付。其中，電話支付要綁定用戶的信用卡，操作人員是旅游公司的客服（TC部門）。

　　“只要是國(guó)內(nèi)做電話支付的差旅公司，都會(huì)記錄下客戶的信用卡全部信息，”肖銘透露，這是為方便常旅客下次消費(fèi)直接調(diào)出記錄支付。除電話支付外，部分網(wǎng)上支付同樣需要提供信用卡信息。如果網(wǎng)站也做了記錄保存，和電話支付性質(zhì)一樣。

　　除了信息泄露的風(fēng)險(xiǎn)，令人瞠目的是，這些留存的用戶姓名、身份證、所持銀行卡類別、卡號(hào)、CVV等信息因其能幫助挖到優(yōu)質(zhì)客源還成為同行私下競(jìng)買的標(biāo)的。肖銘透露，曾經(jīng)就有人私底下找他買數(shù)據(jù)，但被他拒絕了。那時(shí)他所在的公司有5000條高端客戶信息。據(jù)他稱，信息按條數(shù)賣，價(jià)格從500元-2000元不等。為了不被其他差旅公司發(fā)現(xiàn)，通常買方不會(huì)全買，而是買幾百條打亂順序的記錄。

　　“這全靠職業(yè)操守”，肖銘說，大多數(shù)旅游公司IT部門管理都不嚴(yán)格，很多新人進(jìn)來也可以碰觸到這些信息，備份整庫(kù)都可以。攜程暴露的問題，不僅僅是疏忽泄露信息這回事，而是支付流程風(fēng)險(xiǎn)和管理問題。同樣地，包括直接向航空公司購(gòu)買機(jī)票時(shí)，用信用卡支付時(shí)依然需要向客服操作人員提供信用卡號(hào)和CVV碼。

　　而像去哪兒這樣的平臺(tái)網(wǎng)站，里面充斥的無(wú)數(shù)無(wú)資質(zhì)的小代理商更需警惕，“一旦出問題，連人都找不到”。正是意識(shí)這些情況，肖銘選擇離開了這個(gè)行業(yè)。

　　為什么偏偏是攜程？

　　網(wǎng)站泄露信息并非第一次發(fā)生。2013年10月，浙江一個(gè)酒店數(shù)字服務(wù)商因安全問題泄露了大量用戶酒店消費(fèi)記錄。從技術(shù)角度上來說，“任何系統(tǒng)都會(huì)愿意記錄這些信息，”上述資深技術(shù)人員向人民財(cái)經(jīng)解釋，因?yàn)檫@些信息有價(jià)值，用戶下次來消費(fèi)時(shí)支付流程會(huì)更快點(diǎn)。

　　目前在線旅游網(wǎng)站的主要競(jìng)爭(zhēng)格局中，攜程主要做機(jī)票，藝龍做酒店，而去哪兒做平臺(tái)。他們之間比拼的不僅是價(jià)格，主要還有服務(wù)帶來的用戶體驗(yàn)度。所以呼叫中心一度是最主要的銷售和服務(wù)渠道。比如，用戶的機(jī)票遇到退改簽、升艙、退費(fèi)票、轉(zhuǎn)機(jī)等情況時(shí)還得靠打呼叫電話。

　　攜程公共事務(wù)部閆鑫24日對(duì)媒體的回復(fù)也印證了這一點(diǎn)，“部分信用卡發(fā)卡銀行為了提高支付成功率及客人感受，僅需輸入卡號(hào)及有效期即可支付，此并非源于攜程的要求?！鄙鲜黾夹g(shù)官對(duì)人民財(cái)經(jīng)記者解釋，“整個(gè)支付系統(tǒng)是漏斗結(jié)構(gòu)，多一個(gè)步驟就會(huì)流失一部分客戶。保存信息就是為提高轉(zhuǎn)換率，增加便捷度。所有的快捷支付都如此?！?/p>

　　在互聯(lián)網(wǎng)技術(shù)發(fā)展和普及后，在線旅游網(wǎng)站轉(zhuǎn)型互聯(lián)網(wǎng)，調(diào)整業(yè)務(wù)。2008年時(shí)，藝龍網(wǎng)有87%的業(yè)務(wù)量由呼叫中心帶來，至2012年降為20%，而攜程至2013年初還有30%業(yè)務(wù)是呼叫中心帶來，據(jù)稱在上海南匯攜程設(shè)有一個(gè)規(guī)模超過2000人的呼叫中心。肖銘的老東家也仍然靠呼叫中心帶來70%業(yè)務(wù)量。

　　攜程四大核心業(yè)務(wù)分別是酒店、機(jī)票、旅游和商旅。據(jù)稱其出票系統(tǒng)和預(yù)訂系統(tǒng)單獨(dú)與航空公司所談，而不通過同行都必須使用的中國(guó)民航信息集團(tuán)公司中航信系統(tǒng)，交“過路費(fèi)”。

　　相比而言，攜程的互聯(lián)網(wǎng)轉(zhuǎn)型似乎慢了。2012年攜程業(yè)績(jī)大幅下滑之際，成立無(wú)線部門，技術(shù)出身的梁建章回歸親自抓此項(xiàng)業(yè)務(wù)。但更早些時(shí)，互聯(lián)網(wǎng)巨頭騰訊和百度都已進(jìn)入此行業(yè)。2011年，百度控股去哪兒網(wǎng)，騰訊為第二大股東，2012年騰訊又投資同程網(wǎng)，巨大的流量導(dǎo)入其競(jìng)爭(zhēng)對(duì)手，使得攜程面臨巨大壓力。為此，攜程花了5億美元發(fā)起了一場(chǎng)價(jià)格戰(zhàn)，結(jié)果行業(yè)所有大的在線網(wǎng)站都參與進(jìn)來，比如去哪兒網(wǎng)向所有旅游在線供應(yīng)商免費(fèi)開放。

　　此次攜程因技術(shù)調(diào)試造成的信息泄露是對(duì)梁建章的“技術(shù)互聯(lián)網(wǎng)”的一次打擊，此次出問題的正是梁親自抓的部門。攜程的反攻剛剛開始，卻遇上信息泄露事件，肖銘認(rèn)為這必定對(duì)攜程的品牌和業(yè)務(wù)造成沖擊。?

?

?

相關(guān)鏈接：

?