携程321信用卡信息泄漏有多严重？

以下谢绝任何形式的转载。

泻药。 我虽员工，但非相关人士。虽然昨晚一直在试图打探消息，但是还没得到很具体可靠的消息，就算得到了，我也无权越过公关对外发布。

我厂有龟腚：非经公司许可，不得以公司名义对外接收采访和泄漏相关信息，以下回答为我个人。

根据官方微博的回答，丝毫没提涉及了具体日期，具体用户数，也没提用户关注的cvv2这事儿，补偿办法。好吧，看到这申明，我窝了一肚子火...

鞋城的http服务器多以iis为主，因为用的是http://asp.net。从乌云公开消息来看，是给app和webapp的api服务器，为了调试bug记录了日志，日志目录开了目录浏览权限，而http服务是必须开匿名访问权限的。前2者结合，直接突破了第三者导致泄漏事情的发生。这事儿太低级了...

我能说的：api是走的http和https，网站和app的api接口根据我测试的结果，并不相同，理论上网站支付的还是安全的。所有跳到第三方去支付的，也是安全的。

以下用户关注的几点是从乌云消息里读不出来的（注意：读不出来不表示一定等于实际情况）：

1.数据库存了cvv 没说

2.数据库明文存了cvv 没说

3.数据库被拖 没说

4.为何不加密 调试日志加密？你在逗我？又不是常规日志。

5.故意违规收集cvv 真要故意，那就是收集到数据库了，谁家收集到日志干什么。

6.开发边界控制的不好 本次事件日志有点类似iis日志，存了经过的所有post记录，所以信用卡信息肯定会有，开发人员真是躺枪啊...

7.记录信用卡信息 每次支付，需要姓名 卡号 有效期 cvv，为了第二次支付的时候只需要输入卡号末4位和cvv就可以支付，那么起码库里要记录前12位和有效期以及真实姓名，这样第二次支付再输入2项，信息就全了可以支付了。所谓把所有的东西存起来第二次只比对，不是比对完了就可以刷卡了，要所有信息提交到银行才能刷卡的，你要是存全了在数据库里的话，反而需要加密存着的，代价反而大了，不如只存一部分。

虽说存cvv在国外是常态（而且是存在库里不是日志里，当然做得好的会加密，不好的，数据库被拉也挺惨的，这事儿发生过不止一次），这个海淘过或者在国外买过服务的都懂，尤其关联卡后可以那些自动续费的，比如apple google paypal yahoo godaddy之类都会存，但cvv泄漏的后果是很严重的，可以直接无卡支付。拿到信用卡的第一步，刷掉反面的cvv码，以防刷卡时候被服务员偷偷记录下。任何人员包括银行客服直接问你索要cvv码的，直接拒绝。不在自己不放心的网站填写信用卡信息，建议走安全可靠的第三方支付公司网关支付（虽说第三方支付也会存，但是比非专业的那些站会好些）。

小道消息事情发生在无线部门，估计是最近5.4版本内测准备上线开了线上debug（希望如此 如果不是那就死惨了）。而且无线部门最近在拆分，这么低级的事情发生的真是如此的，’必然‘。

我已经不忍看明天的股价了，阿门。