3月22日晚，微信朋友圈开始疯传一则消息：漏洞报告平台乌云网披露，携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露，包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等。

由于一直在使用携程网并捆绑信用卡，这则消息立即引起我的警觉。经查证后，我发现消息确实，而且负面后果不小。一旦用户上述信息泄漏，银行卡便可能被盗刷、透支。以往我在携程购买机票、订酒店，只要输入卡号后四位，便可完成支付。这是因为，我的账号信息已被携程记录。只是没想到，携程这么不小心对待用户个人信息。

斟酌良久，我修改了信用卡密码。后来，我又打电话给信用卡公司，通知换卡。当看到携程的声明后，我赶紧又把携程网站上记录的通讯地址、身份证号码统统删除。做完这些事情，我的心情还是很糟糕。这不仅是因为浪费时间（以及换卡手续费），还在于携程的做法让人难以认可。

据分析，携程在此次信息泄露事件中，至少犯了两个难以让人原谅的错误：一是私自留存用户银行卡背三位数CVV安全码（一旦知悉安全码，无须支付密码也可进行交易）；二是携程竟然是以明文方式保存密码。自从2011年CSDN、天涯等社区发生密码泄露事件后，明文保存密码的害处已为人所熟知。打个比方，如果用户密码是123456，那么后台应当通过加密方式保存，变成一串经过复杂算法后的暗码。携程至今采取明文方式保存信息，反映了其对用户利益的严重疏忽态度。

再看携程发现技术漏洞后的声明。携程之所以出现漏洞，是因为技术人员“留下了临时日志，因疏忽未及时删除”。携程表示，漏洞已在两小时内修复，涉及93名存在潜在风险的携程用户，已通知相关用户更换信用卡。携程又表示：“截至3月23日22：00，没有接到携程客服换卡通知的用户，个人信息均是安全的。”携程还承诺，未来如因安全漏洞引起用户损失，将承担全部责任并给予赔付。

这一通声明看下来，更让人一头雾水。既然仅涉及93名存在潜在风险用户，携程为何还要等到23日22时才能确认用户信息安全？我看到携程声明的时间是23日20时左右，也就是离上述时间还有两小时。那么在这段时间内，携程是在修补漏洞，还是在等待更多的用户风险报告？没有把握漏洞已完全修复，携程何以承诺“个人信息均是安全的，无需担心”？如果对事情本身都不能做到实事求是，用户又怎么能够相信携程的安全承诺？

用户把银行卡和个人信息交托给网站，是出自对网站的信任；网站留存必要的用户信息，承载的是沉甸甸的责任。一旦网站出现信息泄露事件，无论是否发生财产损失，已是对用户造成了伤害。既然伤害了用户，就必须以高度负责任的态度弥补过失，而不能巧言掩饰、敷衍了事，更不能“一笑而过”。作为十年以上的老用户，我希望携程正视问题所在，不能让用户“二次受伤”。