东南网3月23日讯(本网记者 颜财斌)3月22日17:28,“wooyun.org”网站发布了网友“猪猪侠”提供的关于“携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)”的信息;18:18,该网站再次发布信息表示:携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin) 。 此两条信息经过网络传播后迅速引起许多网友关注和评论。携程旅行网官方微博表示,其相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现,并将对于提供漏洞信息者给与重奖。 事件:网友反映携程泄露用户银行卡信息 当晚,记者在“wooyun.org”上找到了标有“漏洞作者:猪猪侠”的这两则相关信息,其标题分别为《携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息) 》和《携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin) 》。两则帖子内“漏洞概要”中标注的“危害等级”均为“高”。 其中,在《携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin) 》帖子中的“漏洞简要描述”写着:“携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时,因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。” 帖子还清楚地指出:“泄露的信息包括用户的:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码、所持银行卡6位Bin(用于支付的6位数字)。” |
相关阅读:
- [ 03-12]天猫订单信息泄露 福州买家信用卡被盗刷近三千
- [ 09-06]感冒药购买"实名制" 龙岩市民担忧信息泄密
- [ 04-18]教师招考疑考生资料泄露 省教育厅提请公安追查
- [ 04-17]报考后遭遇短信轰炸 南平49名"准教师"不堪其扰
- [ 04-11]福州:购车后接到“退税”电话 车主信息网上卖
- [ 12-23]福州不少老小区信箱已荒废 存在信息泄露隐患
- [ 12-20]新车未到手个人信息已泄露 福州一车主被骗1万元
- [ 05-08]网上报考个人信息泄漏 考生遭“卖题”电话骚扰
打印 | 收藏 | 发给好友 【字号 大 中 小】 |
信息网络传播视听节目许可(互联网视听节目服务/移动互联网视听节目服务)证号:1310572 广播电视节目制作经营许可证(闽)字第085号
网络出版服务许可证 (署)网出证(闽)字第018号 增值电信业务经营许可证 闽B2-20100029 互联网药品信息服务(闽)-经营性-2015-0001
福建日报报业集团拥有东南网采编人员所创作作品之版权,未经报业集团书面授权,不得转载、摘编或以其他方式使用和传播
职业道德监督、违法和不良信息举报电话:0591-87095151 举报邮箱:jubao@fjsen.com 福建省新闻道德委举报电话:0591-87275327
全国非法网络公关工商部门举报:010-88650507(白)010-68022771(夜)