您现在的位置:闽南网 > 财经 > 金融 > 互联网金融 > 正文

携程网被曝安全漏洞 可泄露用户支付信息

2014-03-24 09:08 来源: 广州日报 分享到:

  乌云(WooYun)漏洞平台昨日披露了携程网安全漏洞信息,漏洞发现者称携程网支付过程中的调试信息可被任意黑客读取,导致持卡人姓名、身份证、银行卡号等信息泄露。昨日23时许,携程回应记者表示,此前已经对存在问题进行修复。

  “携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取”。昨天18时许,乌云网上,一名叫“猪猪侠”的漏洞发现者称,已将细节通知厂商并且等待厂商处理。

  该漏洞发现者介绍,由于该漏洞存在,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号等。

  漏洞发现者进一步解释,该漏洞之所以存在,是由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较为严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被黑客任意读取。

  当天23时许,携程称,在该消息发布后,立即展开技术排查并在消息发布两个小时内修复问题。携程表示,可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有用户收到该漏洞的影响而造成相应财产损失的情况发生,如果有用户因为该漏洞造成财产损失,携程将提供损失赔偿。

  携程还表示,将对于提供漏洞信息者给与奖励,对于此次漏洞事件如果有新的进展将持续通报。

  但由于这些信息一旦遭窃取,足以被用于网购,已经有部分使用携程预定过机票和酒店的消费者为保险起见,选择立即挂失银行卡。

携程网

超范围保留用户信用卡信息

业内人士称其不仅不安全而且不道德

  继“酒店开房信息遭泄露”、“浏览器泄露用户隐私”等事件之后,“携程”又被爆有泄露用户银行卡信息风险。对此,携程方面称是公司在技术调试过程中出现短时漏洞。不过,业内专家则表示,并非低级技术错误这么简单,“存储了用户信用卡的CVV码,还泄露了,前一个是企业的基本道德问题,后一个是安全问题”。

漏洞报告平台乌云网22日公告指出携程安全支付日志可下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码等),有可能被黑客所读取。昨日携程方面承认是公司在技术调试过程中出现短时漏洞,目前没有出现恶意下载有关数据和用户信用卡被盗刷的情况,承诺未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。

  记者调查也发现,携程违规超范围存储用户信用卡信息,而为了“征得”用户同意,部分网站则是以“常用卡”为名征存储用户的信息。有业内人士则指出,并非是低级技术错误这么简单,携程系统一直就能看到用户信息,虽然屏蔽了卡号却显示有效期和CVN2等信息。该事件也将令携程股价承压。

  据了解,乌云网指出携程安全支付日志可下载,导致包含持卡人姓名身份证、银行卡号、卡CVV码等大量用户银行卡信息泄露,还被爆某分站源代码包可直接下载,涉及数据库配置和支付接口信息。

  在该漏洞被爆出后,昨日有携程用户表示,为了以防万一对信用卡做了挂失处理,部分用户则是直接选择更换了卡片。携程方面表示,漏洞发现人做了测试下载,内容含有少量加密卡号信息,共涉及93名存在潜在风险的用户,目前已经全部删除。公司客服昨日开始通知用户更换信用卡。

  携程方面承认,在技术调试过程中出现了短时漏洞,该漏洞受影响的用户为近期的部分交易客户,但经过排查没有出现恶意下载有关数据的情况。有分析指出,系统漏洞发生在21日和22日,在这两日使用信用卡支付的消费者可能存在风险。

  事件发生后携程已经和各大银行联系核实,目前还没有出现用户信用卡被盗刷的情况。

  “我们正在联合携程和各商业银行共同研究进一步解决措施。”银联资深风险专家王宇表示。

  卡CVV码,是印在信用卡卡片上的一组检查码,用来验证信用卡,根据不同类型的卡而印于卡的正面或背面,对于银联组织的银联标准卡使用的称为CVN2。

质疑一:
并非低级技术
错误这么简单

  对携程的解释,原Google技术总监胡宁认为,用户信用卡信息泄露并非犯低级技术错误这么简单,敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理,这都是常识。

  乌云方面透露称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,同时因为保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

  有业内人士表示,问题是出在他们想把银行发出的验证信息都直接保存到本地。胡宁认为,根据事故报告,携程可能并未故意存储CVV信息,但其数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞,一步错,步步错。

质疑二:
超范围保留用户信用卡信息

  有业内人士爆料称,在该漏洞爆出前携程系统里就已经能看到用户信息,虽然屏蔽了卡号却显示有效期和CVN2,“银联相关标准严格要求商户系统不得以任何方式存储这些银联卡片敏感信息,有了这些数据,可以轻易伪造在线支付交易,客户敏感信息和交易安全从何保证”。

  对此,昨日携程方面回应称,公司对CVV的处理符合行规,与国内外主流电商网站相符,所留存的用户支付信息是经用户授权后保存的,利于用户日后的支付便捷,如果用户没有授权,携程将不予保存。

  根据中国银联风险管理委员会发布的《银联卡收单机构账户信息安全管理标准》,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。由此可见,携程日志中存储的信息明显超过该标准的允许范围。汽车之家创始人李想则表示,“存储了用户信用卡的CVV,还泄露了,前一个是企业的基本道德问题,后一个是安全问题”。

质疑三:
以“常用卡”的名义存储用户信息

  昨日,一家在线旅游网站人士表示,不少网站都会让用户勾选保留常用卡信息,消费者初次使用的时候需提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息,然后提交支付,但第二次使用这张信用卡时,只需提供卡号后四位及CVV2码就会完成这次支付操作,这也变相证明了是在本地存储了用户的相关信用卡的信息。

  记者登录携程也发现,在用户选择银行卡支付后,会提示用户是否保存至常用信用卡以便下次方便支付,但携程并未提示会记录信用卡的相关信息。

  有业内人士表示,知道了CVV码和信用卡卡号就差不多能进行离线支付,泄露后风险很大,而且这种操作也会被银行视作是持卡人本人操作,部分盗取信息的人也可以用来注册购买其他产品服务。

多家银行表示
免费补办新卡

  昨日,记者以顾客身份咨询多家银行的客服热线获悉,因携程事件而需要更换卡片的用户,多家银行均免费补办新卡。

  招行客服人员表示:“如果是因为担心携程支付日志泄露的,我们可以免费补办卡。”据了解,该行如果办理卡片挂失补办信用卡的,收费是60元;如果是损坏补办的,收费是15元。该客服还表示,根据携程公布,目前有可能受影响的是3月21日与3月22日两天有交易的,“如果不是这两天消费的,是不用担心的,不会受影响。”客服说。

  建行的客服人员也表示,如果是因为担心携程漏洞的,可以免费补寄新卡。

  某银行相关负责人告诉记者,“此次信息泄漏是电商支付系统问题,涉事消费者最好、最安全的办法就是更换新卡。”

  目前,银行业尚未发现用户信用卡被盗刷的情况。

消费提醒

  昨日多家银行客服建议消费者可以考虑换卡或者冻结,近日在携程上使用信用卡交易过的有风险。部分消费者不愿意更换信用卡,应尽快修改相关银行卡密码等信息,出现异常应尽快联系银行、公司的官方客服电话。也应该设置网银单笔消费额度,开通短信提醒等以降低风险。用户信息被泄露后除了对财产安全造成影响外,消费者还需提防相关的诈骗短信。

[ ] [ ]
分享到:
上一条: 携程被曝存安全漏洞 或致大量用户银行卡信息泄露
下一条: 京东小金库今日上线 对接货币基金加入宝宝大战
网友评论仅供网友表达个人看法,并不表明本网同意其观点或证实其描述。
点击排行
平安人寿泉州公司:执善心筑大业 活耀金改打造好服务 车辆一年出险四次或遭车险拒保 小事故自己处理更划算 节后迎车险理赔小高峰 拖延报案或遭拒赔 人保财险:产品丰富 服务能力大升级 大地保险开通“威马逊”灾害理赔“绿色通道” 中国人保财险泉州市分公司:融入海西建设大局 创新服务地方经济 平安人寿:“平安福”再升级 保障多保额高 单独二胎家庭应该如何做好保险规划 保监会:寿险公司偿付充足率低于150%不能报批产品 安盛推“中国好车主车险”掀起市场狂潮
本地贷款
搜索贷款一站式搜索各大银行正规贷款
广告

版权声明 | 关于我们 | 联系我们 | 广告服务 | 网站地图 | 回到顶部 关注海峡都市报闽南版报社官方微博

电话:0595-28985153 传真:0595-22567376 地址:福建省泉州市丰泽区田安南路536号五楼 在线QQ客服

CopyRight ©2020 闽南网是由福建日报社(集团)主管 版权所有 闽ICP备10206509号 互联网新闻信息服务许可证编号:35120190010

闽南网拥有闽南网采编人员所创作作品之版权,未经闽南网书面授权,不得转载、摘编或以其他方式使用和传播。