查看完整版本: [--
携程支付信息泄露 专家建议用户立即停卡
--]
秋无痕论坛
->
『系统安全综合区』
->
携程支付信息泄露 专家建议用户立即停卡
[打印本页]
登录
->
注册
->
回复主题
->
发表主题
rrll
2014-03-23 09:47
今日乌云平台连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意还可读取,日志可以泄 露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。目前携程已经确认了该漏洞,专家建议用户立即向对应银行申请停卡。
漏洞提交者称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。
对此携程官方在乌云漏洞平台确认了这一漏洞信息,称已经在漏洞发布两小时内修复该问题,可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。并表示如果有用户因为该漏洞造成财产损失,携程将赔偿损失。
不过一名资深网络安全人员表示,尚未造成财产损失并不意味着用户的账户及银行卡信息安全,建议用户拨打对应银行的客服电话申请停卡,或直接办理挂失。
目前微博上已有用户称对相关信用卡进行了挂失处理。
根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。 携程的日志中存储的信息已经超过了该标准的允许范围。
[attachment=173686]
rrll
2014-03-23 09:48
给大家提个醒,呵呵。
喜欢就做
2014-03-23 10:06
还好没在携程上付过款,都是预定后柜台付款。。
luoyj
2014-03-23 11:27
漏洞处处有。
shenym001
2014-03-23 23:01
了解一下!
吾空
2014-03-24 00:30
感觉现在到处都暴漏洞,到底是忽视还是..........
inhave88
2014-03-24 01:32
安全重要呀
hexj9
2014-08-05 08:56
这个我就看看了啊。
rrll
2014-08-05 11:44
引用
引用第5楼吾空于2014-03-24 00:30发表的 :
感觉现在到处都暴漏洞,到底是忽视还是..........
忽视不得,呵呵。
zhq111
2014-08-06 07:35
什么都不周全了
查看完整版本: [--
携程支付信息泄露 专家建议用户立即停卡
--] [--
top
--]
Powered by
PHPWind
v7.3.2
Code © 2003-08
PHPWind
Time 0.381166 second(s),query:3 Gzip enabled
You can
contact us
