携程称可能受影响的为3月21日、22日的部分交易客户 评:信息如果泄露了,可能短时间内是没有用户损失,但是如果用户没有更换信用卡,那账户被恶意支付的可能随时存在!
3月22日晚间消息,携程旅行网(NASDAQ:CTRP)被曝支付日志存在漏洞,用户银行卡信息可被黑客任意读取。携程方面承认漏洞存在,但表示已经在消息发布两个小时内修复问题,“尚未发现因相关问题导致客户信息泄露及造成损失的情况发生”,如有用户因为该漏洞造成财产损失,“携程将损失赔偿”。 此次主动披露携程漏洞问题的是乌云(WooYun)漏洞平台,是一个位于厂商和安全研究者之间的安全问题反馈平台。 乌云漏洞平台在22日公布的信息显示,“由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取”。 所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。 携程方面表示,可能受影响的为3月21日与3月22日的部分交易客户。由于这些信息一旦遭窃取,足以被用于网购,已有部分使用携程预定过机票和酒店的消费者为保险起见,选择立即挂失银行卡。知名网友“花总丢了金箍棒”评论说,“我做产品时,尚且知道银联风险管理委有不准存储相关信息的规定,携程应该解释下为什么违规。” MediaV CTO、原Google技术总监胡宁根据乌云漏洞报告平台的事故报告分析称,可能携程并未故意存储CVV信息。但其数据传输为明文,且线上长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞,一步错,步步错。 胡宁在个人微博上表示,用户银行卡信息泄露,并非犯低级技术错误这么简单,“敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这都是常识”。 携程旅行网是综合性旅行服务公司,提供集无线应用、酒店预订、机票预订、旅游度假、商旅管理及旅游资讯在内的旅行项目,据该公司介绍有超过1.4亿会员用户,于2003年12月在美国纳斯达克上市。 |
