专栏首页安恒信息携程曝重大安全漏洞 客户信用卡信息或遭泄露

携程曝重大安全漏洞 客户信用卡信息或遭泄露

3月22日,乌云平台连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意还可读取,日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。

漏洞发现者进一步解释,该漏洞之所以存在,是由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较为严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被黑客任意读取。

  对此,不少信息安全业界人士纷纷表示:此次漏洞所泄漏信息显示,携程的确明文保存了用户相关机密信息,这明显已经违反了银联的相关规定。更糟糕的是,这样敏感的信息并没有被安全的存储,虽然目前还无法确认信息泄漏的范围,但信息被泄漏的可能已经被确认。

   22日23时许,携程回应:已经对存在问题进行修复。携程称,在该消息发布后,立即展开技术排查并在消息发布两个小时内修复问题。携程表示,可 能受影响用户为3月21日与3月22日的部分交易客户,目前并没有用户收到该漏洞的影响而造成相应财产损失的情况发生,如果有用户因为该漏洞造成财产损 失,携程将提供损失赔偿。

   携程还表示,将对于提供漏洞信息者给与奖励,对于此次漏洞事件如果有新的进展将持续通报。

   尽管携程做出以上表态,但这一事件已在信息安全界掀起巨大风波。由于这些携程用户的信用卡信息一旦遭窃取,足以被不法分子利用,目前已经引发部分使用携程预定过机票和酒店的消费者选择立即挂失银行卡。

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-03-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 携程漏洞后续:三大恐慌远超实际危害

    3月22日携程出现重大安全漏洞,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露 (包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。尽管漏洞...

    安恒信息
  • 【小安看会】RSA2016 热点话题之——物联网安全

    物联网安全 美国当地时间3月1日,RSA 大会开启新的一天,企业展览仍在继续,会议活动也异彩纷呈,随着日程的推进,关键词不断被剖析,业内人士对于物联网时代的安全...

    安恒信息
  • Bad Rabbit(坏兔子)勒索病毒预警

    1. 勒索病毒基本信息 2017年10月24日,网上出现了一个新的勒索病毒Bad Rabbit(坏兔子),最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索...

    安恒信息
  • 中国技术力量:携程的技术演进之路

    导语 携程今年动作不断,继5月份收购艺龙后,前不久又宣布了与去哪儿合并,成为国内在线旅游领域当之无愧的霸主。那么一路走来,技术是如何支撑携程成长到今天的地位,我...

    携程技术
  • “携程泄密”原因技术拆解

    叶亚明万万没有想到,他在携程网大干快上的技术改造升级给其OpenStack团队造成巨大压力。这位携程网新任技术副总裁自上任始,便对整个技术构架进行大刀阔斧的...

    静一
  • 携程全线瘫痪,传言代码被恶意删除

    我是攻城师
  • 资讯 | 不断创新,携程入选中国互联网十强

    7月12日,中国互联网协会、工业和信息化部信息中心发布了2016互联网企业100强榜单(下称“互联网百强”),携程作为唯一一家在线旅游服务企业入选前十,其为推动...

    携程技术
  • 携程全球化的野心与绊脚石

    近期,携程与百度地图“官宣”上线境外打车服务。携程表示:携程境外打车一站式整合了Grab等境外主流打车的平台,为海外用户提供境外租车、接送机、包车、打车约车四大...

    金融外参
  • 携程获中国著名商标金奖

    近日,第二届“中国商标金奖”评选结果公示揭晓,携程旅行网作为唯一一家在线旅游服务企业入选“商标创新奖”,提供优质服务是携程深耕旅游业16年来始终不曾改变的宗旨,...

    携程技术
  • 程里人 | 在技术团队工作是一种怎样的体验?

    在前不久的文章中,我们抛出了这个互动,引得程序猿段子手们纷纷出动,随便摘几条回答,你们感受下:

    携程技术

扫码关注云+社区

领取腾讯云代金券