3月22日晚间消息，漏洞报告平台乌云网今日在其官网上公布了一条网络安全漏洞信息，指出携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)，并称已将细节通知厂商并且等待厂商处理中。此外，携程还被曝某分站源代码包可直接下载(涉及数据库配置和支付接口信息)。
漏洞详情描述：
由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。
所谓遍历通常是指沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞，被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
后续进展：
当时晚间，携程在其官方微博上回应称公司相关部门已经在第一时间展开技术排查，并在消息发布两个小时内进行了漏洞弥补工作。
次日，携程回应称这是在技术调试过程中出现的短时漏洞，已经在消息发布后两个小时之内修复，用户信息安全未受影响。另外，携程已通知93名有潜在风险的用户更换信用卡。
在漏洞曝光后，原谷歌技术总监胡宁在新浪微博上表示，此次事件并非低级技术错误。敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标等都是常识，携程应立即提醒用户更换信用卡。

上个周末携程惹上了大事，被曝出安全支付日志漏洞，导致用户信用卡信息可能泄露。
漏洞提交者乌云平台称，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。这些信息包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码，6位Bin。
该漏洞说明通俗理解是说，携程将银行卡数据包保存在本地，同时支付日志存在安全漏洞，数据信息可以被陌生人下载。
这其中有两个疑点：携程为什么要保存用户银行卡信息？支付日志为什么会存在安全漏洞？
携程在回应中解释：技术开发人员之前为了排查系统疑问，留下了临时日志，因疏忽未及时删除。但是对于第一个疑问，携程并没有给出解释。
携程无法进行更多的解释，因为存储银行卡信息这件事携程已经默默地干了好多年了。此处必须公正地说，携程这么做并非处于歹意，相反是效仿国外信用卡支付方式简化支付流程，但是这一做法在国内必然有打擦边球之嫌，因为根据银联的规定，受理终端不得存储银行卡磁道信息、卡片验证码、个人标识代码（PIN）及卡片有效期。
早在2010年，携程便与多家银行达成无卡支付服务（简称“CNP（Card Not Present）”交易）协议，根据协议，如果用户的该张信用卡是首次在携程网使用，则在支付生效前需要客户提供全部的信用卡授权所需信息。如果客户已在携程网使用过该张信用卡，且为了方便下次预订，同意携程网保留其信用卡卡号和有效期等信息，则在其下次预订时只需提供所存信用卡的卡号后4位，携程网就会根据其当初保留在系统中的信用卡授权信息，执行支付步骤；出于安全考虑，携程网会要求客户额外提供CVV码加以验证。
这种支付方式类似于亚马逊的“一键支付”，用户只需要首次使用的时候在亚马逊账户中绑定信用卡信息，往后并可以直接购买支付，而不需要输入密码。“一键支付”有其安全验证体系，其中重要的一种方式是，匹配收货地址，也就是说如果有人盗用你的信用卡信息进行购买，最终的货品还是寄给了你，否则他更改地址的同时必须重新提交信用卡信息。

回到携程，因为机票和度假等产品均为实名制产品，如出现信用卡在携程网被盗用的情况，是可以直接追溯到实际消费人的。
只需要信用卡卡号、有效期等信息，而不需要密码的支付方式在国外很常见，比如你购买Hulu的包月服务后，你甚至不需要每次确认支付，Hulu每月会自动从你的信用卡中扣款。
但是国内的信用卡使用环境和使用习惯与国外差异巨大，所以携程这种无卡支付方式被用户和媒体质疑已经不是新鲜事了，比如2010年《长江商报》报道的《携程网真邪门！没有密码也能用信用卡订机票》，2013年东南网报道的《携程网上买机票无需密码即可信用卡支付 网友质疑安全性》，2014年中国网报道的《携程网被疑储存用户信用卡信息 存在泄露风险》。携程对质疑的解释总是“符合国际惯例”，“客户信用卡信息的传输和保存始终处于加密状态”。
没错，按照携程的解释，虽然打着擦边球，过去几年也一直相安无事，直到上个周末。即使携程按照国际惯例使用无卡支付服务可以理解，但是由于自身漏洞将用户信息至于暴露状态就不可原谅了。据冯大辉小道消息爆料，此次漏洞是携程无线部门在手机APP产品调试过程中，保存了日志并在Web.config 开了目录遍历才出的状况。难道是太过于着急无线端的产品开发才如此不小心？
最后不得不吐槽一下携程的危机公关，连发3篇回应都遮遮掩掩，越抹越黑，让用户的担心和愤怒越积越多。明明白白地讲清楚怎么回事不行吗？

23日下午2时，携程再度发表回应，称除漏洞发现人做了少量的测试下载外，没有出现恶意下载有关数据的情况，共涉及93名存在潜在风险的携程用户。
携程客服于当日通知存在潜在风险的93名用户更换信用卡，银行方面也会尽快协助用户办理换卡手续。
虽然携程方面承诺，倘若发生安全漏洞并引起用户损失，携程将给与全额赔付，也特别针对这93名存在潜在风险的用户每人500元任我行礼品卡作为补偿，但多数用户依然对携程这一次的信息泄露事件表达出不满。
携程官方微博评论中多位微博网友表示，携程保存了用户信用卡所有支付信息，随时可能还有下一次，因此换卡是最为保险的措施。
更有部分用户直言，事发至今并未收到来自携程方面的电话短信或邮件的任何告知和抱歉说明，携程辜负了用户的信任，以后将绝不再使用携程。
引发业内高度关注
由于漏洞消息爆出时正值周末，纳斯达克正处于休市，所以目前还无法评估这一事件是否会对携程股价造成影响。不过，业内人士对此事则发表了多个观点。
汽车之家创始人李响就表示，“交易网站存CVV相当于小时工偷偷配了你家的钥匙，同时，他还知道关于你家所有的信息。而存储了用户信用卡的CVV，还泄漏了，前一个是企业的基本道德问题，后一个是安全问题。”
“有些信息可以存，有些信息无论如何也不能存，携程存了无论如何也不该存的CVV，这相当于把你信用卡的密码存储并泄漏了。需要输入CVV和存储CVV是两个概念。这时候还帮着携程说话的，就是典型的被卖了还帮着数钱的。”
李响所提到的CVV，也是此次"携程信用卡门"事件中引起多位业内人士高度关注的重点。
中国黑客教父、COG信息安全组织创建人龚蔚发表博文，对携程此次爆出的漏洞进行了分析。
龚蔚解释，携程信用卡门并不是一个单一的信息泄密漏洞，而是由一连串的漏洞关联引发的，从目录历遍到开发记录调试日志信息，再到将敏感信息未做保护直接交由信息系统处理。
“原本这每一个漏洞都只能算是一个鸡肋的低危漏洞，而正是这一连串的漏洞关联足以将该事件推到了风口浪尖。”
龚蔚还表示，目前还并不清楚携程这一漏洞存在了多长时间，不过漏洞并不等于风险，构成信息安全风险有很多要素，其中一个至关重要的就是这些漏洞被利用的可能性。
“根据携程方面的技术披露本次信息泄密设计93名用户姓名、身份证号、信用卡号、CVV，其中信用卡号及CVV为AES强加密，虽然理论上这些经过AES强加密的信用卡号和CVV还是有可能被破解，但是其难度不是一般黑客所能为之的。”
虎嗅认证作者承哲也撰文称，携程私自保存CVV安全码的行为，其本质上就是在用户输入交易密码私下留存的行为，这种行为也是银行明文禁止的。“携程作为这样一个大公司，居然私自保存用户CVV安全码，着实让人不可思议。”
有分析称，这一事件尽管目前没有造成大的损失，但漏洞信息泄露事件或将对携程网的品牌有所影响。
多名业内人士表示，随着经济技术的快速发展，个人信息被泄露和倒卖的现象时有发生，用户应保护好个人信息，遵守网络规则，不窥探他人隐私；另一方面有关部门应完善管理，从制度上堵住漏洞，强化监管，实行追责和问责。
龚蔚在博文中也表达了自己的几个观点：其一，个人隐私越来越受到大家的重视，哪怕这些信息的来源不一定经过证实或技术的评估，大众容易处于一个隐私泄密的恐慌中；
其二，行业信息安全策略得不到充分保障的落实，策略机构不具备专业的技术检测能力；
其三，厂商应该重视任何一个信息安全漏洞，即使是一个极微弱点，但往往一系列的巧合会让这些看似不重要的信息安全漏洞提示到一个高位的漏洞