携程曝重大安全漏洞 客户信用卡信息或遭泄露

3月22日,乌云平台连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意还可读取,日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。

漏洞发现者进一步解释,该漏洞之所以存在,是由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较为严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被黑客任意读取。

  对此,不少信息安全业界人士纷纷表示:此次漏洞所泄漏信息显示,携程的确明文保存了用户相关机密信息,这明显已经违反了银联的相关规定。更糟糕的是,这样敏感的信息并没有被安全的存储,虽然目前还无法确认信息泄漏的范围,但信息被泄漏的可能已经被确认。

   22日23时许,携程回应:已经对存在问题进行修复。携程称,在该消息发布后,立即展开技术排查并在消息发布两个小时内修复问题。携程表示,可 能受影响用户为3月21日与3月22日的部分交易客户,目前并没有用户收到该漏洞的影响而造成相应财产损失的情况发生,如果有用户因为该漏洞造成财产损 失,携程将提供损失赔偿。

   携程还表示,将对于提供漏洞信息者给与奖励,对于此次漏洞事件如果有新的进展将持续通报。

   尽管携程做出以上表态,但这一事件已在信息安全界掀起巨大风波。由于这些携程用户的信用卡信息一旦遭窃取,足以被不法分子利用,目前已经引发部分使用携程预定过机票和酒店的消费者选择立即挂失银行卡。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2014-03-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

基于Wifipineapple对无线安全情况的综合性调查与研究

本项目已荣获2017年福建省第32届青少年科技创新大赛一等奖 摘要:通过设计并进行试验、实地调查等方式,对无线安全的情况进行综合性的调查与研究,最终提出合理化建...

2779
来自专栏企鹅号快讯

虚拟键盘 AI.type 泄露 3100 万用户信息,你还敢用第三方输入法吗?

原标题:虚拟键盘 AI.type 泄露 3100 万用户信息,你还敢用第三方输入法吗? 时尚的网络用语以及多变的皮肤,第三方输入法往往成为替代手机自带输入法的最...

1936
来自专栏FreeBuf

什么是“移动端应用协作”(MAC)攻击?

Intel安全团队最近表示,他们检测到恶意代码被发布在数以千计的安卓包里。黑客对这些代码进行组合后,对没有防备的手机用户发起攻击。 这种攻击被称为“移动端应用协...

1889
来自专栏安智客

物联网设备六种攻击面及其应对

Gartner的最新报告指出,近20%的企业机构在过去三年内至少观察到一次基于物联网的攻击。为了应对这些威胁,Gartner预测全球物联网安全支出将在2018年...

1512
来自专栏腾讯大讲堂的专栏

【iOS审核秘籍】应用内容检查大法

作者:互娱iOS预审团队,隶属于互娱研发部品质管理中心,致力于互娱产品的iOS审核前的验收工作。 前面一篇分享了客户端检查的相关要点,本篇会给大家介绍有关应用内...

2648
来自专栏漏斗社区

看!我手里有个Email收集神器

众所周知,在工作中,大家用到最多的便是Email来传输工作内容,因此,像一些VPN信息、服务器账号密码、公司人员清单等敏感数据,均会通过Email进行传输,并且...

2043
来自专栏腾讯大讲堂的专栏

应用内容检查大法

作者:互娱iOS预审团队,隶属于互娱研发部品质管理中心,致力于互娱产品的iOS审核前的验收工作。 前面一篇分享了客户端检查的相关要点,本篇会给大家介绍有关应用内...

2368
来自专栏FreeBuf

每16台Android手机中,就有一台受BadKernel漏洞的影响

根据国外媒体的最新报道,安全研究专家在Google的V8 JavaScript引擎中发现了一个安全漏洞(BadKernel),该漏洞将会间接影响到Android...

2115
来自专栏FreeBuf

威胁远胜“心脏出血”?国外新爆Bash安全漏洞

这几天Linux用户们可能不能愉快地玩耍了,红帽(Redhat)安全团队昨天爆出一个危险的Bash Shell漏洞。其带来的威胁可能比早前披露的“心脏出血”漏洞...

2107
来自专栏金融民工小曾

【支付系统设计从0到1】支付系统账户体系设计(下)

在上一篇里我们主要讲了支付系统的账户体系的产品设计,在这一篇里重点介绍技术设计上需要考虑的一些问题。

1481

扫码关注云+社区

领取腾讯云代金券