攜程支付漏洞致信息泄露 專家建議用戶立即停卡

今日烏云平臺(tái)連續(xù)披露了兩個(gè)攜程網(wǎng)安全漏洞，漏洞發(fā)現(xiàn)者稱由于攜程開(kāi)啟了用戶支付服務(wù)借口的調(diào)試功能，導(dǎo)致攜程安全支付日志可被任意還可讀取，日志可以泄 露包括持卡人姓名、身份證、銀行卡類別、銀行卡號(hào)、CVV碼等信息。目前攜程已經(jīng)確認(rèn)了該漏洞，專家建議用戶立即向?qū)?yīng)銀行申請(qǐng)?？ā?/p>

漏洞提交者稱，攜程將用于處理用戶支付的服務(wù)接口開(kāi)啟了調(diào)試功能，使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。同時(shí)因?yàn)楸４嬷Ц度罩镜姆?wù)器未做校嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過(guò)程中的調(diào)試信息可被任意駭客讀取。

安全日志包含的信息包括：持卡人姓名、持卡人身份證、所持銀行卡類別（比如，招商銀行信用卡、中國(guó)銀行信用卡）、所持銀行卡卡號(hào)、所持銀行卡CVV碼以及所持銀行卡6位Bin(用于支付的6位數(shù)字)。

對(duì)此攜程官方在烏云漏洞平臺(tái)確認(rèn)了這一漏洞信息，稱已經(jīng)在漏洞發(fā)布兩小時(shí)內(nèi)修復(fù)該問(wèn)題，可能受影響的為3月21日與3月22日的部分交易客戶，目前尚沒(méi)有發(fā)現(xiàn)因相關(guān)問(wèn)題導(dǎo)致客戶信息泄露及造成損失的情況發(fā)生。并表示如果有用戶因?yàn)樵撀┒丛斐韶?cái)產(chǎn)損失，攜程將賠償損失。

不過(guò)一名資深網(wǎng)絡(luò)安全人員表示，尚未造成財(cái)產(chǎn)損失并不意味著用戶的賬戶及銀行卡信息安全，建議用戶撥打?qū)?yīng)銀行的客服電話申請(qǐng)?？ǎ蛑苯愚k理掛失。

目前微博上已有用戶稱對(duì)相關(guān)信用卡進(jìn)行了掛失處理。

根據(jù)中國(guó)銀聯(lián)風(fēng)險(xiǎn)管理委員會(huì)2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》，各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分、差錯(cuò)處理所必需的最基本的賬戶信息，不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期。 攜程的日志中存儲(chǔ)的信息已經(jīng)超過(guò)了該標(biāo)準(zhǔn)的允許范圍。