信用卡安全码阴影笼罩

• 信用卡
• 安全
• 卡CVV码
• 银行卡
• 泄露

近期，关于支付安全的讨论恐怕都集中在信用卡安全码上，携程爆出漏洞，安全支付日志可下载，导致大量用户银行卡信息泄露（包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin）。稍微有点金融安全知识的人看到这里估计都已经慌了，这意味着信用卡可以无卡支付。

虽然这个漏洞仅仅是存在着“可能泄露”的风险，并且是被信用记录和口碑一向良好的白帽黑客发现的，日志也已经删除，但有几个疑问始终萦绕消费者心头：1、还有多少网站在记录信用卡的核心信息并用明文保存日志？2、曾经记录的信息去哪儿了，是还躺在数据库里，还是已经真的被删除了？

其实更让人担心的一个问题是：即使你曾经在携程用过的信用卡被盗刷了，也并不能认定信息就是在携程泄露的，信用卡信息泄露风险无处不在，电商网站当然是最可能的途径之一，但也只是之一而已。而且作为一家上市公司，携程还算作出了迅速反应，要知道这个星期，有多少电商公司的安全部门加班加点，携程所存在的漏洞，其他公司未必就没有，只是还没发生数据库被拖的事故而已，除非你永远不再用信用卡网上支付，否则这种风险就永远存在。

其实记录CVV码并不是一件新鲜的事情，我们要搞清楚几件事：

第一，携程不是第三方支付机构（无支付牌照），而是商户，跟银行签约的商户。在国外餐厅或酒店消费时经常会有这样的体验，直接把信用卡交给服务员，再不用做任何事情，钱就被划掉了。就在去年，美国第二大连锁超市塔吉特公司从11月27日到12月15日，约4000万在该公司超市消费的顾客的信用卡和借记卡信息被盗。

第二，再说说信用卡安全码，这个重要程度堪比支付密码的三位数（或四位数），就是用来效验身份、进行网络无卡支付用的，会带来便利的同时，当然会存在风险。在网络进行信用卡支付时，商家的声明一定不要怕麻烦，多看几遍，另外，像携程这种电话订票居然可以口述CVV码让客服代劳的商户，真是非常危险。风险不在于携程会拿你的卡怎么样，而在于工作人员是否会记录贩卖信息等。

第三，只要是商户涉及到违规操作和信息泄露，持卡人除了及时换卡基本没有别的解决办法，当然，盗刷频繁的话银行也会收到报告，结合消费记录建议换卡。而和银行签约的商户并不限于携程这样的网络消费商户，星级酒店、高档餐厅等存在着同等风险，至于他们是否同样记录敏感信息，是否明文记录并随便放在什么数据库里，在国内这种安全环境下，还真是难说的事儿。如果一定要用信用卡网络支付，用信得过的第三方支付机构的网关支付是相对安全的，虽然也会被记录，但至少安全性比一般商户要好。

当然，还有一个严重的问题是，国内对于信用卡诈骗这种金融犯罪尚不够重视、信息安全保护也不完善，携程事件应当是对整个业界的警示。在美国，信用卡信息大量泄漏国家安全部门会介入调查，信用卡诈骗也是重罪。国际上涉及信用卡交易的安全会要求相关企业通过PCI-DSS，该标准禁止记录CVV码等敏感信息，但是国内并未实施强制认证。携程这事儿出来之后最大疑问是：为什么没有机构去监管这种问题，隔三差五给商户来个压力测试呢？