艺龙网被指支付路径存漏洞 回应称是国际惯例

被投诉对象：

艺龙旅行网(美国纳斯达克上市公司，股票代码NASDAQ：LONG)

被投诉产品：

网上订单支付路径

投诉线索：

在艺龙网上预订酒店，在没有通过网银平台或第三方支付通道，以及未进行密码输入的情况下，即可完成支付，消费者认为存在重大漏洞。

事件经过

在广州越秀区某事业单位供职的李先生，3月1日向南都反映，其2013年2月28日10时在艺龙网站预订酒店。其在首页点击“酒店团购”，进入某快捷酒店的预定页面。而在选定了心仪的房间后，李先生输入了手机号，并选择招商银行信用卡作为支付方式，在下一个页面中，输入卡号、姓名、信用卡有效期以及申请信用卡时填写的证件-身份证号码，点击“确认信用卡信息，提交”按钮后，李先生的手机上收到一条招商信用卡发来的消费通知信息，告知其已成功消费336元(房费为168元/天)。

诉求：完善网上订单支付功能安全性

◎事主说法：

艺龙网在支付功能设置上有重大漏洞。其支付功能，不仅没有转入网银平台或通过持合法牌照的第三方支付公司支付通道，而且在未输入过任何验证码、交易密码等安全措施的情况下，实现扣费。而李先生的招商信用卡本身是设置了查询密码、交易密码的。

姓名、身份证号码、银行卡号码及有效期等信息并不难获得，一旦被他人掌握，便可以在此网站轻松消费。尽管信用卡发卡行有消费短信提醒，但是这种消费是不可逆转的，且维权成本过高。

◎当事方一：艺龙网

艺龙旅行网CEO崔广福

“这不是安全漏洞问题”

这并不是一个安全漏洞问题。信用卡支付不需要输入交易密码，这是国际惯例。包括国内多家在线支付网站也选择这种支付路径：输入个人的身份确认信息及所持银行卡号进行支付，并不需要动态密码、交易密码等。这是信用卡组织、商户和广大消费者在平衡了交易效率和安全后，做出的选择。艺龙本身设置了防欺诈小组，会在用户输入信息时进行内部数据审核；同时也会通过第三方数据库，根据其不断更新的信用卡被盗风险审核。根据审核情况，高风险的信用卡将被拒付。

用户出于安全心理，认为动态密码、交易密码输入等，在用卡安全上加了一层保障。我们认可消费者的安全顾虑，但是交易密码也不能完全保障用户的信用卡被盗用的风险。交易密码最大的问题是给交易增加时间和交互步骤成本，尤其是当消费者用手机预订时，交互手续上的繁琐将无法忍受。艺龙提供的机票、酒店预订，价格和库存是实时更新的。如果因为交易流程繁琐，以及网络通道问题不能及时发送动态密码，导致用户无法低价成功购票或预订酒店，则会给用户和艺龙双方造成损失。

中国所有银行在信用卡扣款交易后，都会第一时间向消费者手机发送短信。如果消费者发现盗刷，应该即刻向银行投诉，银行就会马上拒绝支付或者对消费者进行赔付；消费者也应立即向艺龙投诉，艺龙收到投诉后，会及时与银行核实，并与商家联系取消订单，并将已扣取费用返还。此外，如果信用卡被盗刷，被害方是在几天后才发现，而此时盗刷信用卡方已经完成了消费。消费者应该向公安机关报案，经公安机关核实，艺龙愿意承担被害方的损失。

◎当事方二：招商银行

招行信用卡客服称，艺龙网确为合作方。且目前合作的商户，并非此一家在消费时不需提供密码。消费者在消费中出于安全考量，应谨慎选择网络交易平台。如果出现了银行卡被盗刷行为，及时向银行客户投诉。银行将会派专人向艺龙网以及入住酒店进行时间核实。

律师说法

广东粤广律师事务所张扬律师

艺龙有必要完善支付系统