漏洞报告平台乌云网在其官网上公布了一条重大网络安全漏洞信息，指出携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露。

　　作为国内在线旅游市场份额最大服务商，携程日均酒店预订、票务预订等业务量以十万计，消息一经爆出，引发社会各界密切关注。很多携程用户赶紧到银行解除绑定信用卡。携程最新回应称，乌云所曝信息系此前技术人员未删的临时日志，已在两小时内修复，并已通知93名潜在风险用户更换信用卡并适当补偿，尚未发现携程用户信用卡被盗刷情况。

　　据悉，事件根本原因是携程违反银联规定本地保存银行卡信息：携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。而根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》中命令禁止本地保存银行卡信息：“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”

　　除此之外，携程服务器安全配置不严格：携程用于保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。遍历通常是指沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问，遍历漏洞可导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。