砍柴网消息 今日(3月23日)乌云平台连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意还可读取,日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。
漏洞提交者称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。
乌云漏洞平台将这一漏洞危害等级标注为高,并已通知厂商,目前状态为等待厂商处理中。
同时被曝光的另一漏洞显示,携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息),目前该漏洞也已被乌云平台确认。(顾晓波)
虽然携程用户目前还未出现账户金钱损失,但此次曝出的安全漏洞信息对携程的企业安全信用、企业合作的损伤可能更大。携程此次技术漏洞补上之后,随之而来的品牌公关危机更为棘手,目前首先要防范的是对手可能实施品牌攻击行为。
另据网易科技报道,携程刚与与万事达卡国际组织近日签署合作备忘录,拓展在品牌、支付领域的合作关系,通过联名卡、旅游优惠、电子钱包等计划,推动电子支付在旅游消费领域的创新应用。此次技术漏洞的发生,可能也会对双方的合作蒙上阴影。
鉴于此次漏洞爆发于周六,在美国东部时间股市开盘之际,携程的股价走势是否会受影响,也值得关注。
扩展阅读:
2011年12月25日消息,今天晚上,针对 天涯社区4000万用户密码遭泄露 的消息,天涯官方对腾讯科技发来声明表示,此次被盗的数据为2009年之前的备份数据。
天涯恳请用户尽快修改天涯社区相关帐户的密码。天涯市场部负责人对腾讯科技称,所谓的4000万用户是黑客打包的数据文件名称上标的,具体到底有多少用户密码遭泄露,现在还不能确定。但根据天涯技术人员查询,遭泄露的用户不会大于这个数字。
目前,天涯已向公安机关报案,公安机关也正在调查相关线索。
早在上周的12月22日,国内最大的开发者社区CSDN的用户密码曾遭到黑客泄漏。而这次随着天涯用户密码遭到泄露,也意味着此次黑客袭击事件的影响进一步扩大。
