发表于 2014-03-23 14:39 IP属地:未知
查看 4.2W | 回复 4
携程曝支付日志漏洞:可致用户信用卡信息泄露
2014年03月22日 20:22 ***** ***** ***** 收藏本文
乌云网站截图
新浪科技讯 3月22日晚间消息,漏洞报告平台乌云网今日在其官网上公布了一条网络安全漏洞信息,指出*****(
49.49,
0.01,
0.02%)安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin),并称已将细节通知厂商并且等待厂商处理中。此外,携程还被曝某分站源代码包可直接下载(涉及数据库配置和支付接口信息)。
漏洞详情描述:
由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
后续进展:
当时晚间,携程在其*****上*****称公司相关部门已经在第一时间展开技术排查,并在消息发布两个小时内进行了漏洞弥补工作。
次日,*****称这是在技术调试过程中出现的短时漏洞,已经在消息发布后两个小时之内修复,用户信息安全未受影响。
在漏洞曝光后,原*****(
1183.04,
-14.12,
-1.18%)技术总监胡宁在*****上表示,此次事件并非低级技术错误。敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标等都是常识,携程应立即提醒用户更换信用卡。(舒石)
京公网安备 11010102004670号