携程支付服务曝安全漏洞,93名用户信用卡信息疑遭泄露
作者:星期日, 三月 23, 20140

携程信用卡泄露

核心提示: 携程今日下午回应称,共有93名用户的支付信息存在潜在风险,已通知这些用户更换信用卡。根据乌云提供的信息来看,携程可能违反了银联此前禁止记录CVC码的规定,目前用户只能通过信用卡账单查询,才能了解自己的银行卡是否被盗用

昨日晚间,漏洞报告平台乌云网披露了携程网安全漏洞信息,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,支付过程中的调试信息可被任意黑客读取。安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。

当天23:22分,携程回复,携程技术人员已经确认该漏洞,并在两小时内及时修复,对于乌云平台发现的 漏洞信息表示感谢。该漏洞受影响的用户为近期的部份交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程旅行网始终对信息安全非 常重视,对于此次漏洞事件如果有新的进展将持续通报。

据悉,乌云是一个位于厂商和安全研究者之间的安全问题反馈平台,此前多次发布国内企业信息系统的技术漏洞,推动企业进行漏洞修复。

漏洞形成原因

那么携程的安全漏洞是怎么造成的?据腾讯科技报道,知情人士透露携程此次用户信息泄露事件可能是无线研发推进过快而变相导致的。

具体来说,这次携程的安全漏洞,并不是在Web网页上的漏洞导致,而是无线部门在手机APP产品调试过程中,保存了日志并在Web.config 开了目录遍历才出的状况。

某企业负责IT安全的人士表示,利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险行为。

MediaV CTO胡宁也分析称,这可能是携程并未故意存储CVC信息。但其数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞。所以一步错,步步错。

某 互联网上市公司CTO接受媒体采访时表示,不管是App还是Wap或Web,都只是产品的前端表现形式,所调用的数据源必然只有一个。新产品的上线流程一般是 “开发机——内网测试机——发布员发布到外网”,每个环节都有QA测试,但在紧急或意外情况下,程序员会临时去外网修改产品,这么做非常危险,因为跳过了 控制流程、跳过了发布员(跟产品开发不是一拨人)。

携程是上市公司,应该有非常严格的控制,该CTO猜测是不小心把没有过滤好的内网代码目录发布到外网了。如果是这种发布错误,问题并不严重,也就是版本控制不力——但如果是有员工跳过流程直接修改,就是特大问题,因为这意味着产品失去了对各环节和安全的控制点。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章