绾虫柉杈惧厠缁煎悎鎸囨暟3鏈�3鏃ワ紙鍛ㄥ洓锛夋敹鐩樹笅璺�.95鐐癸紝璺屽箙锛�.07%锛屾姤58.....
当前人气:0
漏洞可致信用卡核心信息泄露;目前尚未发现有用户受影响
漏洞报告平台乌云网22日晚间披露,国内著名旅游网站携程网出现安全漏洞,绑定了信用卡的旅客在支付过程中的调试信息可被任意骇客读取。携程官方随后宣布,漏洞已经在两个小时内修复,目前尚未发现有用户信用卡被盗刷,如日后发现有用户因此造成损失,携程将给予全额赔付。
或泄露用户信用卡信息
漏洞
该漏洞发现者称,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,部分向银行验证持卡所有者接口传输的数据包将直接保存在本地服务器。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
而所谓的遍历漏洞,通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的高危害等级漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。这些数据一旦被泄露,将会给用户资金安全带来风险。
漏洞消息曝出之后,不少网友大喊坑爹。有多名网友表示,此前在携程预订机票时只需要输入信用卡的后四位卡号,既不需要身份核对,也不用密码和验证码,交易就已经成功,让人感觉很不安全。
已通知有风险用户换卡
携程
在漏洞消息传出之后,携程官方当晚对外表态,经过携程方面排查,携程旅行网在技术调试过程中出现了短时漏洞,携程方面在得知漏洞信息后立即展开技术排查,并在两小时内修复了这个漏洞。
携程方面表示,根据目前排查,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响。
昨日14时,携程发表声明称,已经确定涉及93名存在潜在风险的客户,并有客服通知相关用户更换信用卡,此外,携程还和各大银行联系查询是否存在用户信用卡被盗刷的情况。携程表示,经过核实,可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有出现有用户信用卡被盗刷的情况。携程承诺,未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。