[注意]携程被曝支付日志漏洞致 用户应立刻更换信用卡
3月22日晚间消息,漏洞报告平台乌云网今日在其官网上公布了一条网络安全漏洞信息,指出携程(49.49, 0.01, 0.02%)安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin),并称已将细节通知厂商并且等待厂商处理中。此外,携程还被曝某分站源代码包可直接下载(涉及数据库配置和支付接口信息)。
漏洞详情描述:
由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
目前携程方面已经开始对此漏洞进行调查,下面是官方回应。
携程:
尚未发现客户信息泄露及损失
对此,携程方面昨日晚间表示,在得知该消息后,公司即展开了技术排查并在消息发布两个小时内修复问题。携程称,对于乌云平台发现漏洞信息表示感谢,并将对于提供漏洞信息者给予奖励。对于此次漏洞事件,如有新进展,携程将持续通报。
同时,携程表示,可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的核查工作,如果有用户因该漏洞造成财产损失,携程将赔偿损失。
影响:
用户被建议及时更换信用卡
携程旅行网作为在线旅游市场份额最大的服务商之一,上述漏洞的影响范围也较为庞大。对此,新浪微博认证为“MediaV CTO,原Google技术总监”的网友“胡宁”说,用户信用卡信息泄露,并非犯低级技术错误这么简单。敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这都是常识。她认为,携程应该做的是立即提醒被影响用户换卡、道歉并赔偿用户因此导致的任何损失。
另有分析认为,存储用户CVV是不合理的,此次漏洞问题将对携程的品牌有所影响。晚间,部分新浪微博网友就表示,将因此与携程“告别”,也有网友建议,使用信用卡在携程上进行过支付的消费者,应该立刻更换信用卡。