Published On: 周日, 3月 23rd, 2014

乌云爆出携程存漏洞 用户银行卡信息或被泄露

华闻聚焦网消息 今天下午,乌云用户@猪猪侠 爆出携程支付日志存在漏洞,漏洞能导致大量用户的银行卡信息泄露,其中包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息。携程当晚承认漏洞存在,但表示已经在消息发布两个小时内修复,如有用户因为该漏洞造成财产损失,“携程将损失赔偿”。

乌云爆出携程存漏洞 用户银行卡信息或被泄露

乌云爆出携程存漏洞 用户银行卡信息或被泄露

携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器(类似IIS或Apache的访问日志,记录URL POST内容)。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

猪猪侠称,会导致用户的以下信息遭泄露:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码、所持银行卡6位Bin(用于支付的6位数字)。

携程方面表示,可能受影响的为3月21日与3月22日的部分交易客户。由于这些信息一旦遭窃取,足以被用于网购,已有部分使用携程预定过机票和酒店的消费者为保险起见,选择立即挂失银行卡。知名网友“花总丢了金箍棒”评论说,“我做产品时,尚且知道银联风险管理委有不准存储相关信息的规定,携程应该解释下为什么违规。”

MediaV CTO、原Google技术总监胡宁根据乌云漏洞报告平台的事故报告分析称,可能携程并未故意存储CVV信息。但其数据传输为明文,且线上长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞,一步错,步步错。

胡宁在个人微博上表示,用户银行卡信息泄露,并非犯低级技术错误这么简单,“敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这都是常识”。

携程旅行网是综合性旅行服务公司,提供集无线应用、酒店预订、机票预订、旅游度假、商旅管理及旅游资讯在内的旅行项目,据该公司介绍有超过1.4亿会员用户,于2003年12月在美国纳斯达克上市。

Leave a comment

XHTML: You can use these html tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>