携程旅行网出现支付日志漏洞,导致信用卡信息可能被泄露

3月22日,乌云网发布了两条漏洞信息,这两条信息均来自携程旅游网,其中一条称携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)。而另外一条则更为严重:携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。

xiecheng-bug-0322-1

乌云所描述的内容称,由于携程将用于处理用户支付日志的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。(类似IIS或Apache的访问日志,记录URL POST内容)。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。通常来讲,持有用户信用卡的姓名、身份证、发行行、卡号、安全码和支付密码相当于将这张卡完全据为己有,可实施任意的在线消费,属于严重的高危漏洞。

xiecheng-bug-0322

当晚,携程旅行网在微博上发表声明称正在努力排查修复问题,如果用户出现因泄露信息造成的损失携程将负责赔偿。而到3月23日早上,携程旅行网再次发出微博,表示漏洞已在两个小时内修复,根据排查,除了漏洞发现人做了少量的下载测试并且已经删除之外,没有出现其他的恶意下载现象。在与各大银行取得联系之后,没有发现信用卡被恶意盗刷的情况,并且承诺未来出现因安全问题造成用户损失的将负责赔偿。 上周,央行刚刚发布条理,管控在线支付及线下支付的行为,支付安全问题也又一次重视起来。这次携程旅行网出现漏洞暂时没有引起重大损失,但对用户的体验和安全感来讲都是一次打击。

订阅更多文章