攜程支付日志泄露記錄支付數(shù)據(jù)行為遭質(zhì)疑

king9413 2014-03-25

展開全文

網(wǎng)易科技訊 3月23日消息，昨日攜程網(wǎng)被曝出現(xiàn)安全漏洞，用戶身份證號(hào)、銀行卡號(hào)、CVV碼等信息或遭泄露，銀行工作人員稱建議用戶辦理掛失或凍結(jié)。

　　這一事件招致巨大的用戶信任危機(jī)，攜程旅行網(wǎng)官方微博遭受大量用戶指責(zé)。

　　用戶支付信息泄露攜程稱將賠償損失

　　根據(jù)烏云漏洞平臺(tái)的描述，攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能，使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。同時(shí)因?yàn)楸４嬷Ц度罩镜姆?wù)器未做校嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取。

　　安全日志包含的信息包括：持卡人姓名、持卡人身份證、所持銀行卡類別(比如，招商銀行信用卡、中國(guó)銀行信用卡)、所持銀行卡卡號(hào)、所持銀行卡CVV碼以及所持銀行卡6位Bin(用于支付的6位數(shù)字)。

　　對(duì)此攜程官方在烏云漏洞平臺(tái)確認(rèn)了這一漏洞信息，稱已經(jīng)在漏洞發(fā)布兩小時(shí)內(nèi)修復(fù)該問題。

　　根據(jù)攜程的回應(yīng)，可能受到該漏洞影響的為3月21日與3月22日的部分交易客戶，并表示如果有用戶因?yàn)樵撀┒丛斐韶?cái)產(chǎn)損失，攜程將賠償損失。

　　銀行建議：柜臺(tái)掛失或凍結(jié)

　　昨日20:43，網(wǎng)易率先曝出了該消息，隨后有用戶開始撥打銀行客服電話申請(qǐng)掛失，截至晚間22:00左右，銀行客服電話已經(jīng)被打爆。

　　據(jù)了解，用戶在攜程綁定信用卡后，初次使用需要提供信用卡卡種、卡號(hào)、有效期、CVV2碼(即信用卡驗(yàn)證碼)等一系列完整信息，但第二次在攜程網(wǎng)使用同一張信用卡時(shí)，只需提供卡號(hào)后四位及CVV2碼就可以完成支付操作。

　　網(wǎng)易科技隨即咨詢了一名銀行業(yè)人士，該人士表示，銀行也有自己的安全評(píng)估體系和風(fēng)險(xiǎn)預(yù)警機(jī)制，即便用戶信息泄露也并不意味著財(cái)產(chǎn)一定會(huì)受到損失，不過還是建議用戶去銀行柜臺(tái)辦理信用卡掛失換卡或凍結(jié)。

　　用戶也可以通過電話進(jìn)行凍結(jié)或掛失，不過部分銀行的電話掛失屬于臨時(shí)掛失，最穩(wěn)妥的方式是電話掛失后去柜臺(tái)辦理。

　　攜程記錄支付數(shù)據(jù)行為遭質(zhì)疑

　　有用戶指出，攜程記錄用戶支付信息的行為違反了銀聯(lián)2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》，根據(jù)該標(biāo)準(zhǔn)的2.1條，各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分、差錯(cuò)處理所必需的最基本的賬戶信息，不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期，根據(jù)標(biāo)準(zhǔn)8.1條，各類受理終端均不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼、卡片有效期等敏感賬戶信息。

　　對(duì)這一行為，此前攜程在接受媒體采訪時(shí)的回答是攜程網(wǎng)采用的信用卡支付方式符合國(guó)際慣例。

　　安全寶副總裁吳翰清表示，不排除有其他黑客在烏云曝出該漏洞前已經(jīng)通過該漏洞獲取安全日志，由于日志采用的是明文記錄，黑客無需破解就可以拿到支付數(shù)據(jù)。

　　根據(jù)烏云平臺(tái)的描述，此次漏洞出現(xiàn)的原因是攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能，也就是說舒彧操作不當(dāng)，而非因黑客攻擊導(dǎo)致，這也是招致用戶不滿的原因。

　　目前關(guān)于漏洞被曝光之前持續(xù)的時(shí)間、日志是否被其他人下載，是否有用戶被盜刷信用卡等問題，攜程仍無法給出有說服力的答案。

　　網(wǎng)易科技將繼續(xù)關(guān)注這一事件。(顧曉波)

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自： king9413 > 《IT相關(guān)》

舉報(bào)/認(rèn)領(lǐng)