今天晚间,漏洞报告平台乌云公布最新漏洞称,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。乌云网称已将细节通知厂商并且等待厂商处理中。此外,携程还被曝携程某分站源代码包可直接下载。 漏洞详情描述: 携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。(类似IIS或Apache的访问日志,记录URL POST内容)。 同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。 其中泄露的信息包括用户的: 持卡人姓名 持卡人身份证 所持银行卡类别(比如,招商银行信用卡、中国银行信用卡) 所持银行卡卡号 所持银行卡CVV码 所持银行卡6位Bin(用于支付的6位数字) 该漏洞发现者称,由于该漏洞存在,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。所谓遍历(Traversal),是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。访问结点所做的操作依赖于具体的应用问题。 他解释称,该漏洞之所以存在,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。 在乌云披露该信息后,携程官方表示,两个小时内已经进行修复问题。 同时,目前尚没有发现任何因为网站安全导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的修复工作,如果有用户因为该漏洞造成财产损失,携程将提供损失赔偿。
查看自10年携程多次曝出漏洞。
|
