携程深陷“漏洞门” 信息安全原罪或成定时炸弹

      近日，国内著名在线票务服务公司携程旅行网（以下简称携程）被乌云爆出信息安全漏洞，可能导致多项个人隐私信息泄露，引发携程用户的巨大恐慌和大众对信息安全的再次强烈关注。有业内人士告诉记者，“在信息爆炸和大数据时代，信息安全原罪或许会成为一枚定时炸弹，不断引爆大众对个人信息安全深重的忧虑，引发对企业道德责任感的拷问。”中国经济网记者就此采访了携程公共事业部的李先生，李先生称携程承诺“将在交易完成后立即删除用户的敏感信息，不再保存”，至于何时能把已存的用户隐私信息删除完毕，暂时还不能确定。

　　“乌云”压携程 携程“诚”欲摧

　　3月22日，著名漏洞报告平台乌云连续披露携程的两个安全漏洞，漏洞发现者称，由于携程开启了用户支付服务接口的调试功能，支付过程中的调试信息可被任意骇客读取。该发现者还列出了可能泄露的用户信息，包括“持卡人姓名、身份证、银行卡类别、银行卡卡号、银行卡CVV码、银行卡6位Bin”。得知消息后，许多携程用户纷纷准备换卡。
　　据悉，乌云曾因2011年连续披露国内多个著名网站的用户账号密码外泄事件而声名大噪。乌云在其官方介绍中的一句誓言或许表明了其心迹：“我们坚信它是汇聚互联网安全研究者力量的，将带来暴风雨清洗一切的乌云。”这样的一团“乌云”，3月22日带来了一场轰动网络的暴风雨，浇透了携程。携程树立“诚信”形象的大厦在一些用户的心中轰然倒塌，“携程在手，说走就走”的广告语也被网友调侃为“携程在手，密码说走就走”。
对于深陷“漏洞门”的携程来说，这次所面对的确是一场暴风雨。

　　携程多次发声明 难解部分用户疑问

　　3月22日晚9点，携程在其官方微博发表了第一条声明：“我相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现。”
　　面对某用户“被盗刷的话，你们负责吗”的疑问，携程回复：“用户因为该漏洞造成的财产损失，携程将给予赔偿。”但有用户提示，“知道如何赔付吗？用户必须举证：1、交易非本人发起；2、证明盗用者是从携程而非其他地方获取的交易敏感信息”。
　　在巨大的舆论压力下，携程再度发表声明：“经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。携程客服于今日通知相关用户更换信用卡”，而且“经各银行反馈，截至目前，没有发生携程用户信用卡被盗刷的情况”。
　　对此，也有用户连发三问：“请问携程如何判断只有漏洞发现人下载了？如何判断他确实把数据删除了？如何判断他删除后不能再恢复了？”这些问题，恐怕只有携程能够回答。