盆地观察

有朋友发来一个天涯的链接，原来早在2008年1月就有人遇到同样的问题，不知道是这位朋友的理解错误还是后来携程又调整，目前有几点和文中描述不是很一致：

1.此漏洞可以为持卡人本人订票，可以带一名12岁以下儿童(猜测又是一个漏洞，可以用别人的卡替小朋友订票)，但不能为超过1名12岁以下儿童或12岁以上非持卡人订票。订票张数不能超过5张。

2.最高限制金额为5000元，不是文中提到的20000元;

3.借记卡支付另外有一种”直付通”的形式，这个的限制是20000元，可以替其他人购买，但持卡人须是乘机人之一，且根据帮助需要设置和验证直付通密码。

另外，在和招商银行客服沟通的时候，客服提到有不少客户都问过此问题，但是盆地询问客服是否有结果时，客服只是说会反馈上去，之后会有人联络；联络的结果其实就是上文《招商银行借记卡的恶意消费漏洞》中联络盆地的人给出的让人无法接受的结果。

至少一年多的时间，招商银行在干什么？到底有什么是我们可以信任的？

天涯原文如下:

我使用招行一卡通已经有好几年了，2007年12月31日在携程网上订往返机票，选择支付方式时，我选择了一卡通（借记卡）支付，奇怪的是只是输入了卡号和身份证号，并未要求我输入密码，携程提示订单已提交；随后我收到携程的订单信息，我感觉非常奇怪，因为是第一次在携程订票，所以我以为这是携程网站的程序有问题；为了谨慎起见，我通过招商银行的专业网上银行确认了钱没有被转走；并且当时也未开通网上支付功能。后来我打电话去携程咨询，携程的工作人员说订单已生效，随后会跟我联系。由于我以为携程订票未成功支付，我就自己又通过其他方式订了票。

一、背景

如果你用过携程，不知道是否曾经使用过借记卡付款。盆地上周是第一次在使用，当时由于时间较晚且较为紧张，通过送票形式已经来不及，于是选择了借记卡付款。

但是，在选择借记卡付款后，发现只需要输入卡号、姓名、身份证号后，不需要输入密码既可以成功支付。

非常震惊，赶快咨询携程和招行，得到的答复是这个是为了方便用户开展的一项代扣服务，要求乘坐人必须为本人、身份证号码和卡号必须正确，且金额在5000元以内。

盆地个人认为上述限制虽然可以一定程度上防范问题，但由于连目前楼下保安都可以登记你身份证的国情下，上述三个信息的泄漏简直是常态。就盆地的疑问，招商银行客服无法解答，说会反馈上去后三个工作日之内予以联络。

招行的时间观念”很强”，在三个工作日的最后一天临近傍晚时联系了盆地，根据负责此业务的联系人解释，当前此功能对所有用户默认开通，无法针对某人关闭；另外，针对问起出现恶意消费情况下的处理，回答居然是要根据当时情况来处理，无规定流程。针对此客服的回答，不知道是不是盆地太苛责，个人感觉无法接受。

二、问题

1.用户不知情情况下开通此功能