携程被曝存漏洞 或导致用户信用卡信息泄露
2014年03月23日08:59                         来源：搜狐IT                                                                                                                                                        
顶                                                 
分享
                                         
收藏                                                 购买                                         
                                                                                                           
                         

• 正文
• 我来说两句(3人参与)

Mazda6价格抄底直降4万！
手机客户端 | 扫描到手机

                                         关闭
                                                         
                                                                                                                  　　文/宿艺
　　漏洞报告平台乌云网在其官网上公布了一条网络安全漏洞信息，指出携程安全支付日志可遍历下载，可能导致大量用户银行卡信息泄露，包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin。
　　所谓遍历(Traversal)，是指沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问。访问结点所做的操作依赖于具体的应用问题。
　　乌云方面解释称，该漏洞之所以存在，由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。
　　在拥有以上所泄漏信息的情况下，不法分子可以非常容易的进行信用卡盗刷。目前还不知道多少消费者受到此漏洞的影响。
　　该漏洞在乌云网上的等级被标记为高，该漏洞目前的状况是“厂商已经确认，细节仅向厂商公开”。
　　业内分析人士对此表示，而此次漏洞所泄漏信息显示，携程的确明文保存了用户相关机密信息，这明显已经违反了银联的相关规定。更糟糕的是，这样敏感的信息并没有被安全的存储，虽然目前还无法确认信息泄漏的范围，但信息被泄漏的可能已经被确认。
　　2011年12月22日，黑客在网上公开了知名网站CSDN的用户数据库。当时安全界便指出，明文存在用户密码等核心信息，是安全上非常危险并且业余的做法。时隔2年多，携程在被爆出此漏洞，可以说其安全体系非常脆弱。
　　携程方面于昨日晚间在其官方微博上回应：公司相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。
　　同时，携程表示，可能受影响的为3月21日与3月22日的部分交易客户，目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的核查工作，如果有用户因为该漏洞造成财产损失，携程将赔偿损失。

垃圾公司，该倒闭

乌云曝携程支付漏洞　用户小心信用卡安全                                 发布时间：2014.03.23 01:20                                                                     来源：赛迪网                                     作者：子鉃                                 
【赛迪网-IT技术讯】昨日晚些时候，漏洞报告平台乌云网披露了携程网安全漏洞信息，漏洞发现者称由于携程开启了用户支付服务借口的调试功能，支付过程中的调试信息可被任意黑客读取。安全日志包含的信息包括：持卡人姓名、持卡人身份证、所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。同时被曝光的另一漏洞显示，携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)，目前该漏洞也已被乌云平台确认。对此，百度手机卫士提醒用户近日需多加注意信用卡信息安全，尤其是最近在携程用过银行卡支付的用户需提高警惕。

据漏洞发现者称由于携程开启了用户支付服务借口的调试功能，支付过程中的调试信息可被任意骇客读取。对此，携程官方表示，可能受影响用户为3月21日与3月22日的部分交易客户，目前并没有用户收到该漏洞的影响而造成相应财产损失的情况发现。携程将对于提供漏洞信息者给与重奖，对于此次漏洞事件如果有新的进展将持续通报。  虽然携程用户目前还未出现账户金钱损失，但为了避免可能出现的安全问题，百度手机卫士在这里还是提醒广大用户，面对已经曝光的安全漏洞不要慌张、保持冷静，并遵循以下建议保证财产安全： 1、首先马上核查是否有在相关网站的信用卡支付经历；如果确认，要第一时间与发卡银行取得联系，对账户进行查询看是否有不明确的交易，必要时，对账户进行相应的安全处理措施； 2、收到无法确认的短信，比如“电子密码失效”，“银行公告”，“更换信用卡”等短信，即使是看似银行官方发布，也应该多方确认，可以拨打官方客服电话确认； 3、使用手机安全软件，比如百度手机卫士具有查杀山寨网银，吸费木马病毒，网络环境监控，支付环境监控，短信加密认证等多想支付安全功能，可以有效避免手机支付安全风险； 4、保证手机系统的安全，不要给手机乱装软件，定期删除手机垃圾和清理缓存； 5、确保浏览的网页的安全性，不要随便点击不确定安全的链接。 除此之外，针对广大民众手机购物过程中遇到的风险，百度手机卫士在3•15期间专门推出了手机支付安全“环形防护”解决方案。据介绍，这一机制包括“应用下载保真、运行环境加固、传输过程加密、验证短信保护”四大模块，针对用户支付前下载支付类、网银类应用，应用安装后，对支付过程中、支付完成后的整个支付链条进行保护。其中传输过程加密、验证短信保护两大功能重点在保护手机支付信息、短信的安全，百度手机卫士将为用户提供单独加密的网络隧道，保证银行卡、支付宝等信息传输过程的安全；同时，还为支付宝、银行的验证短信提供单独存储域，全方位保障手机网购消费者手机的安全。 后继报道： 携程方面在晚些时候称，获知该消息后，携程即展开了相应技术排查，并修复问题。携程表示，尚未发现因相关问题导致客户信息泄露及造成损失的情况发生。 安全建议： 从安全角度考虑，使用信用卡在携程上进行过支付的用户，立即更换相关信用卡，以期将可能出现的损失降低或排除。 另外，对于与信用卡相关的短信提示信息，一定要审慎对待，详加核实。