游侠安全网从乌云漏洞报告平台、新浪微博等多处获得消息,目前确认国内领先的在线旅游服务公司携程旅行网安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。
乌云的描述为:
携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
(类似IIS或Apache的访问日志,记录URL POST内容)。
同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
- 其中泄露的信息包括用户的:
- 持卡人姓名
- 持卡人身份证
- 所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)
- 所持银行卡卡号
- 所持银行卡CVV码
- 所持银行卡6位Bin(用于支付的6位数字)
由于CVV对信用卡而言事关重大,因此很多朋友在新浪微博已经提出了自己的担忧:
同时,很多在携程订票的朋友已经采取了一定的措施,包括更换信用卡等:
从该位博友的反馈看,似乎银行信用卡中心已经接到很多换卡申请了。
说说危害?看看这篇文章,发表日期是2014年1月10日:《携程网被疑储存用户信用卡信息 存在泄露风险》,我就不多说了,简单转发下几句重点的——红色字体是游侠标注:
据业内人士介绍,信用卡信息主要包含卡号、有效期、CVV2码等,其中打印在卡片签名区的3位CVV2码又被称作“第二密码”,掌握着该卡的交易授权,即只要提供正确的CVV2码,就能完成支付环节。中国网财经中心记者在中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》中看到如下表述:各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。(写成已经违规保存了很多个人敏感信息,这毫无疑问!)
携程网华北区公关负责人在接受中国网财经中心记者采访时表示,携程网采用的信用卡支付方式符合国际惯例,“在多年前我们已经得到万事达、VISA等卡组织的认证,由此可见,这些国际金融机构对携程网的的风险控制能力和安全保密能力是持认可态度的,否则他们也不会授权给我们。”(耍流氓也是国际惯例了啊?你这么牛,万事达、VISA这么认证的呢?是不是塞钱了?)
当记者追问携程网客服人员口头索要信用卡有效期、CVV2码等敏感信息,如何保障内部员工不泄露时,这名负责人称此举也系国际通用做法,“公司既然使用这种方式,肯定对风险有足够的把控能力。”而对于记者提出的“携程网是否违反银联规定,在后台保存了用户信用卡相关信息”时,对方未予明确回答。(如何保证的?足够的把控能力……既然足够,这次为什么被爆出来了呢?)
下面再发个安全圈同仁的观点:
有人问怎么解决……这个,游侠贴个图说明怎么解决吧!
随手搜了下新浪微博,今晚各大银行信用卡部都得加班了估计……据说有人半小时了,还是接线员全忙……你说这事大不大?一句话:打电话到信用卡部,要求换卡。
真是携程出错,让信用卡部门躺枪啊……不但得加班,还得搭上邮费给你换新卡!
稿源:游侠安全网搜集整理
标签: 携程, 携程漏洞, 携程网漏洞