首页
社区
课程
招聘
上周末,携程网被爆出重大安全漏洞
发表于: 2014-4-9 12:06 666

上周末,携程网被爆出重大安全漏洞

2014-4-9 12:06
666
上周末,携程网被爆出重大安全漏洞——安全支付日志可遍历下载和源代码包可直接下载。被泄露的支付日志的信息包括了:持卡人姓名、身份证、银行卡类别、银行卡号、CVV码和银行卡6位Bin等,这些信息可被用于盗刷卡。其后携程确认了漏洞,称已经在漏洞发布两小时内修复该问题,没有发生盗刷的情况。

  目前已有大量用户对相关信用卡进行了挂失处理,而专家也建议用户拨打对应银行的客服电话申请停卡,或直接办理挂失。

携程网被爆出重大安全漏洞

  小知识:所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问,通常被归类为“敏感信息泄露”的漏洞。

  根据乌云漏洞播报平台的描述,此次漏洞出现的原因是携程将用于处理用户支付的服务接口开启了调试功能,也就是说属于操作不当,而非因黑客攻击导致,这也是招致用户不满的原因。

  目前不排除有其他黑客在乌云曝出该漏洞前已经通过该漏洞获取安全日志,由于日志采用的是明文记录,黑客无需破解就可以拿到支付数据。

漏洞详情描述:

  携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。(类似IIS或Apache的访问日志,记录URL POST内容)。

  同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意黑客读取。

携程重大安全漏洞描述1

携程重大安全漏洞描述2

其中泄露的信息包括用户的:

  · 持卡人姓名

  · 持卡人身份证

  · 所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)

  · 所持银行卡卡号

  · 所持银行卡CVV码

  · 所持银行卡6位Bin(用于支付的6位数字)

  根据携程的回应,可能受到该漏洞影响的为3月21日与3月22日的部分交易客户。携程最新回应称已通知存在潜在风险的93名用户更换信用卡。携程表示如果有用户因为该漏洞造成财产损失,携程将赔偿损失。

  携程表示,目前没有发现用户受到该漏洞的影响,而造成相应财产损失的情况。不过一名资深网络安全人员表示,尚未造成财产损失并不意味着用户的账户及银行卡信息安全,建议用户拨打对应银行的客服电话申请停卡,或直接办理挂失。

携程网微博回应

  PS:根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。 携程的日志中存储的信息已经超过了该标准的允许范围。

  对这一行为,此前携程在接受媒体采访时的回答是:携程网采用的信用卡支付方式符合国际惯例。

出事前已有警示

  今年1月10日,中国网财经中心已经发布了一篇题为《携程网被疑储存用户信用卡信息 存在泄露风险》的文章,文中对携程网的支付流程提出了极大的质疑,可惜这篇文章并没有得到有关人员的重视。

  中国网财经中心撰写的文章里称,携程用户反映,在携程网购买产品时,只需进行简单的信息核对即可完成交易。消费者张先生称,自己持信用卡首次在携程网消费时,需提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息,然后提交支付。

  “然而当我第二次在携程网使用这张信用卡时,只需提供卡号后四位及CVV2码,携程网就会完成这次支付操作。如果当初(携程网)没有在系统中储存信息,它又是如何完成支付的呢?”

  张先生表示,如此“便捷”的操作让他对自己的信用卡安全倍感担忧,“只要知道这张信用卡卡号和CVV2码的人,就可以用它来消费,根本不需要任何动态或者其他形式的密码,我的资金安全该由谁来保障呢?”

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//