A5站长网(www.adming5.com)3月24日消息,上周末乌云漏洞平台发布消息称,携程旅行网支付日志存在漏洞,或导致大量用户银行卡信息泄露。一时间携程网处在了风口浪尖上。
漏洞详情描述:
由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
CVV即 Card Verification Value,是由卡号、有效期和服务约束代码生成3位或4位数字,一般写在卡片磁条2磁道用户自定义数据区里面。无需密码支付的方式也叫信用卡“离线交易”,仅凭卡号、CVV码等信息即可完成支付。专家提醒,CVV安全码相当于信用卡“第二密码”,需妥善保管。
在该消息发布后,携程旅行网立即展开技术排查并在消息发布两个小时内修复问题。携程表示,可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有用户收到该漏洞的影响而造成相应财产损失的情况发现。携程将对于提供漏洞信息者给与重奖,对于此次漏洞事件如果有新的进展将持续通报。
此事一出马上引起了广泛的注意。因为这不仅仅是个人信息的泄露,而是银行卡信息,你的身份证号,银行卡号,cvv码,6位卡bin等信息。金山毒霸安全专家李铁军接受中新网IT频道采访时称,从目前携程和乌云公布的资料来看,携程用户隐私的泄露过程还并不能完全肯定,但是结果造成的用户安全风险是非常大的。“除了被盗刷的可能,了解用户这些信息后还可以创建第三方支付账号,绑定信用卡实现境外购物。”据了解,信用卡有一种支付功能为离线支付,这种支付方式只要知道了用户的基本信息和CVV代码后就可以实现支付。
对于这起漏洞的原因,很多人质疑为何携程要将用户的的支付记录用文本保存下来?有专家表示,携程保存客户银行卡信息属于违反银联的规定,PCI-DSS(第三方支付行业数据安全标准)规定了不允许存储CVV。
关于网站在用户支付过程中该如何保护用户信息,国内外相关标准不止一个,国际上比较权威的是PCI-DSS(第三方支付行业数据安全标准),加入此标准认证的企业都要接受严苛的年度安全评估,并且每个季度都在接受PCI认证要求的ASV弱点扫描。但国内主动进行这项认证的网站只是少数,去年底,还有媒体报道未能在携程上找到PCI-DSS认证标识。
携程作为行业的巨头出现这种低级错误真是太不应该了。无论哪行哪业切记客户的利益最大!给提个醒抓紧做好品牌公关工作,因为也许这时对你的对手来说正是一个机会!
相关阅读:
携程被曝支付日志漏洞致用户信用卡信息泄露
如果你是携程用户,请注意头顶的安全乌云
携程"泄密门"给央行监管送上合理理由
携程曝支付漏洞 违规存用户银行卡信息遭质疑
携程的漏洞乌云,暴露互联网界整体安全意识淡薄
A5站长网为互联网创业者和企业网站提供品牌推广方案、SEO诊断与顾问、电子商务服务!(详情请访问:)A5站长网官方微信号:iadmin5
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
