《每日话题:携程支付漏洞 涉嫌违规存储用户银行卡信息》由会员分享,可在线阅读,更多相关《每日话题:携程支付漏洞 涉嫌违规存储用户银行卡信息(3页珍藏版)》请在金锄头文库上搜索。
1、每日话题:携程支付漏洞 涉嫌违规存储用户银行卡信息 A5 站长网()3 月 24 日消息,上周末乌云漏洞平台发布消息称,携程旅行网支付日志 存在漏洞,或导致大量用户银行卡信息泄露。一时间携程网处在了风口浪尖上。 漏洞详情描述: 由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记 录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存 在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。所谓遍历通常是 指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为 “敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、
2、银行卡号、 卡 CVV 码、6 位卡 Bin 等信息外泄。 CVV 即 Card Verification Value,是由卡号、有效期和服务约束代码生成 3 位或 4 位数字,一般写在卡片磁条 2 磁道用户自定义数据区里面。无需密码支付的方式也叫信 用卡“离线交易”,仅凭卡号、CVV 码等信息即可完成支付。专家提醒,CVV 安全码相当于信用卡“第二密码”,需妥善保管。 在该消息发布后,携程旅行网立即展开技术排查并在消息发布两个小时内修复问 题。携程表示,可能受影响用户为 3 月 21 日与 3 月 22 日的部分交易客户,目前并没有 用户收到该漏洞的影响而造成相应财产损失的情况发现。携程将对
3、于提供漏洞信息者给 与重奖,对于此次漏洞事件如果有新的进展将持续通报。 此事一出马上引起了广泛的注意。因为这不仅仅是个人信息的泄露,而是银行卡信 息,你的身份证号,银行卡号,cvv 码,6 位卡 bin 等信息。金山毒霸安全专家李铁军接 受中新网 IT 频道采访时称,从目前携程和乌云公布的资料来看,携程用户隐私的泄露过 程还并不能完全肯定,但是结果造成的用户安全风险是非常大的。“除了被盗刷的可 能,了解用户这些信息后还可以创建第三方支付账号,绑定信用卡实现境外购物。”据 了解,信用卡有一种支付功能为离线支付,这种支付方式只要知道了用户的基本信息和 CVV 代码后就可以实现支付。 对于这起漏洞的
4、原因,很多人质疑为何携程要将用户的的支付记录用文本保存下来? 有专家表示,携程保存客户银行卡信息属于违反银联的规定,PCI-DSS(第三方支付行业 数据安全标准)规定了不允许存储 CVV。 关于网站在用户支付过程中该如何保护用户信息,国内外相关标准不止一个,国际 上比较权威的是 PCI-DSS(第三方支付行业数据安全标准),加入此标准认证的企业都要接 受严苛的年度安全评估,并且每个季度都在接受 PCI 认证要求的 ASV 弱点扫描。但国内 主动进行这项认证的网站只是少数,去年底,还有媒体报道未能在携程上找到 PCI-DSS 认证标识。 携程作为行业的巨头出现这种低级错误真是太不应该了。无论哪行哪业切记客户的 利益最大!给提个醒抓紧做好品牌公关工作,因为也许这时对你的对手来说正是一个机会! 相关阅读: 携程被曝支付日志漏洞致用户信用卡信息泄露 如果你是携程用户,请注意头顶的安全乌云 携程“泄密门“给央行监管送上合理理由 携程曝支付漏洞 违规存用户银行卡信息遭质疑 携程的漏洞乌云,暴露互联网界整体安全意识淡薄 A5 站长网为互联网创业者和企业网站提供品牌推广方案、SEO 诊断与顾问、电子商 务服务!(详情请访问:/qiye/)A5 站长网官方微信号:iadmin5 文章来源于:http:/
