3月22日，乌云平台连续披露了两个携程网安全漏洞，漏洞发现者称由于携程开启了用户支付服务借口的调试功能，导致携程安全支付日志可被任意还可读取，日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。随后,携程发布的官方申明确认了该漏洞，不过否认有用户收到该漏洞的影响而造成相应财产损失的情况。专家建议用户立即向对应银行申请停卡。

　　漏洞提交者称，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

　　安全日志包含的信息包括：持卡人姓名、持卡人身份证、所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。

　　安全漏洞曝出后，携程发布申明，称已与各大银行取得联系，核实后没有出现用户信用卡被盗刷的情况。并承诺倘若发生安全漏洞并引起用户损失，携程将给予全额赔付。

　　不过一名资深网络安全人员表示，尚未造成财产损失并不意味着用户的账户及银行卡信息安全，建议用户拨打对应银行的客服电话申请停卡，或直接办理挂失。

　　3月23日早上5时50分，携程方面发布的申明：

　　据携程排查，除了漏洞发现人做了少量的测试下载并已全部删除外，没有出现恶意下载有关数据的情况，用户在携程的交易仍旧是安全的，用户的信息安全没有受到影响。

　　事件发生后，携程同各大银行均取得联系，经核实，目前也没有出现用户信用卡被盗刷的情况。携程郑重承诺，未来，倘若发生安全漏洞并引起用户损失，携程将给予全额赔付。

　　针对此事给用户造成的困扰，携程旅行网诚恳致歉。