洞报告平台乌云网在其官网上公布了一条网络安全漏洞信息,指出携程安全支付日志可遍历下载,可能导致大量用户银行卡信息泄露,包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin。
所谓遍历(Traversal),是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。访问结点所做的操作依赖于具体的应用问题。
乌云方面解释称,该漏洞之所以存在,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
在拥有以上所泄漏信息的情况下,不法分子可以非常容易的进行信用卡盗刷。目前还不知道多少消费者受到此漏洞的影响。
该漏洞在乌云网上的等级被标记为高,该漏洞目前的状况是“厂商已经确认,细节仅向厂商公开”。
业内分析人士对此表示,而此次漏洞所泄漏信息显示,携程的确明文保存了用户相关机密信息,这明显已经违反了银联的相关规定。更糟糕的是,这样敏感的信息并没有被安全的存储,虽然目前还无法确认信息泄漏的范围,但信息被泄漏的可能已经被确认。
2011年12月22日,黑客在网上公开了知名网站CSDN的用户数据库。当时安全界便指出,明文存在用户密码等核心信息,是安全上非常危险并且业余的做法。时隔2年多,携程在被爆出此漏洞,可以说其安全体系非常脆弱。
携程方面于昨日晚间在其官方微博上回应:公司相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。
同时,携程表示,可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的核查工作,如果有用户因为该漏洞造成财产损失,携程将赔偿损失。
网友评论