网易科技讯 3月22日消息,今日乌云平台连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意还可读取,日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。
漏洞提交者称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。
乌云漏洞平台将这一漏洞危害等级标注为高,并已通知厂商,目前状态为等待厂商处理中。
同时被曝光的另一漏洞显示,携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息),目前该漏洞也已被乌云平台确认。(顾晓波)
相关阅读:
网易科技讯 3月22日消息,乌云(WooYun)漏洞平台(乌云是一个位于厂商和安全研究者之间的安全问题反馈平台)今日发布消息称:“携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。有可能被黑客所读取”。
在该消息发布后,携程旅行网立即展开技术排查,并在消息发布两个小时内修复问题。携程对于乌云平台发现漏洞信息表示感谢,并将对于提供漏洞信息者给予重奖。携程旅行网始终对信息安全非常重视,对于此次漏洞事件如果有新的进展将持续通报。
同时,携程表示,可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的核查工作,如果有用户因为该漏洞造成财产损失,携程将赔偿损失。