经常出行的人们很多都清楚,携程上的机票、酒店等各类产品并未见得便宜。但是,由于携程出道较早,且服务还不错。因此,很多人出于路径依赖和不差那点儿钱的心理,一直在使用携程。
但是,路径依赖和不差钱,都抵不过安全二字。如今,偌大的携程终于倒在了“安全”二字的脚下。尽管业界对于一直在走下坡路的携程,预测过多种“死法”,但是,估计很多人都没想到,携程最终却以这种方式,退出了舞台。
在携程网被曝出存在安全漏洞后,携程方面当晚于微博上发表声明回应称,立即展开技术排查,并在两小时内修复了这个漏洞。3月25日,在舆论对其违规存储用户信用卡信息、并未能妥善保存的重重压力下,携程发出最新声明,承认此前的操作流程中确有违规之处,今后将不再保存客户的CVV信息;以前保存的CVV信息也将删除。但是,这一切已经于事无补,携程高大上的形象已然在一夜间坍塌。
尤为值得一提的是,有媒体人在携程公告后又进行了测试,发现携程还是不安全!
随着有心人的继续挖掘,携程在安全方面的短板继续被挖了出来。比如,携程的核心IT人员仅六七名。
据媒体报道,携程的OpenStack云计算平台团队总共加起来不到二十人,其中核心技术人员只有六七名,相比庞大的呼叫中心和无线端业务人员可谓九牛一毛。就是这个搭建了庞大系统的部门,不久前却因技术人员操作不谨慎,被黑客抓住把柄。
事实上,无卡无密码便可支付的信用卡支付已是普遍现象。不管是在携程网,还是在同程网、艺龙网、芒果网等OTA网站,使用信用卡支付时同样只需要卡号、有效期和CVV码,并不需要密码和卡。但携程的错误在于违规保存客户敏感信息如CVV码等,这明显违背了央行规定。
根据央行《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。
不过,携程本身携带“违规打擦边球”的基因也许早就为此次事件埋下了伏笔,看似偶然的事件也凸显了必然性。
据媒体报道,携程正是从“违规”中诞生的。十年之前,从行业来说,跨地区买飞机票是违反规定的,但携程却敢于推出一个全国性的网络订票平台。“这个违规是商业规则不成熟的表现。为什么要改革,就是要改掉这些不合理,看上去合法,实际上它真的是违规的东西。所以携程十年前做了这样一个突破。”在携程信用卡支付漏洞的前一天,CEO范敏曾这样公开说道。
正是这样的“甜头”让范敏更加大胆。据悉,2009年以前,携程服务器并不留存用户CVV码,用户每次购买机票,预订酒店都需要输入CVV码;但2009年,范敏为了简化操作流程,优化客户体验,拍板决定在携程服务器上留存CVV码。如今看来,正是当时范敏的这个决定为今天的“漏洞”埋下了隐患。如今,重回携程的董事长梁建章则要为其“擦屁股”了。
不过,至少在马云眼里,携程并非一无是处。今年3月以来,在线旅游老大携程或投入阿里阵营的传闻有模有样。近日,市场再度流传“阿里集团正在与携程旅行网洽谈投资入股事宜”的消息,阿里巴巴和携程官方目前对此传闻并未评论,但已经有猜测认为:“阿里给出携程75亿美元估值,投25亿占股25%。”。
对于目前正在O2O领域布局的阿里巴巴来说,在地图、团购、移动社交等其他垂直领域“站队”逐渐明朗化的情况下,拉拢携程网,看上去也是情理之中的选择。