东南网3月23日讯(本网记者 颜财斌)3月22日17:28,“wooyun.org”网站发布了网友“猪猪侠”提供的关于“携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)”的信息;18:18,该网站再次发布信息表示:携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin) 。 此两条信息经过网络传播后迅速引起许多网友关注和评论。携程旅行网官方微博表示,其相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现,并将对于提供漏洞信息者给与重奖。 事件:网友反映携程泄露用户银行卡信息 当晚,记者在“wooyun.org”上找到了标有“漏洞作者:猪猪侠”的这两则相关信息,其标题分别为《携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息) 》和《携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin) 》。两则帖子内“漏洞概要”中标注的“危害等级”均为“高”。 其中,在《携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin) 》帖子中的“漏洞简要描述”写着:“携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时,因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。” 帖子还清楚地指出:“泄露的信息包括用户的:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码、所持银行卡6位Bin(用于支付的6位数字)。” 网友反映:挂失银行卡?携程赔偿吗? 今日凌晨2:00,记者从网络微博上看到,该则信息在发布会后立即引起了许多网友的关注和评论,其中微博“新浪科技”发布的该则微博消息更是被网友转载6235次。许多网友也在网上支出多种应对招数,同时也以“银行卡换卡”的建议也最频繁。 “严厉批评携程旅行网 !用户信用卡信息泄露,并非犯低级技术错误这么简单。”网友“胡宁”表示,敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这都是常识。出这么大的纰漏,应即提醒被影响用户换卡、道歉并赔偿用户因此导致的任何损失。 网友“ljtNINE”则在“携程旅行网官方微博”的微博回复中指出:“公然违反中国银联的以下条款:2.1 磁道信息、卡片验证码、个人标识代码及卡片有效期 各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡。” 网友“淡淡的微博MM”留言:“咨询电话一直提示忙线,请给予明确答复,是泄漏了还是没泄漏了,方便我们用户尽快采取应对措施,希望不要隐瞒事实造成我们用户的损失。”网友“皎皎001”则感叹:“网络安全就这么个德行,对互联网金融系统我还是保持谨慎态度。”网友“杨樾杨樾”也表示,不仅是携程,以后凡是要求代刷预授权的旅行中介平台,都不用了。 信息发出后,有许多网友也通过电话向银行了解如何对自已银行卡应采取保护方式。部分网友表示,目前已挂失信用卡,避免后患。网友“摄氏度”说,银行只能临时冻结24小时,携程君你可得24小时内站出来给个话啊。网友“粥粥曾”则表示交易密码、查询密码都换了,同时还申请换新卡,还好是免费的。 “能不能发布被泄漏的使用时间段,大家好根据实际情况换卡。”网友“文文21文文”如是咨询。
携程回应:已在消息发布两个小时内进行了漏洞弥补工作 随后,“携程旅行网官方微博”也证实了该漏洞信息,并于22日21:44通过该官方微博表示:相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程对于乌云平台发现的漏洞信息表示非常重视和感谢并将对于提供漏洞信息者给与重奖。对于此次漏洞事件如果有新的进展将持续通报。 针对用户咨询的相关赔偿问题,“携程旅行网官方微博”在22日23:39表示:用户因为该漏洞造成的财产损失,携程将给予赔偿。 23日上午7:11,“携程旅行网官方微博”再次发表申明,通报事件处理情况,并向其用户致歉。申明表示:经该部门连夜彻查,发现这是携程旅行网在技术调试过程中出现了短时漏洞,并在两个小时内修复了这个漏洞。据排查,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,网站的信息安全没有受到影响。时间发生后,其公司立即同各大银行取得联系,经核实,没有出现用户信用卡盗刷的情况。用户在携程的交易仍旧是安全的。 在“携程旅行网官方微博”发布的微博中,携程方面还表示:未来,倘若发生安全漏洞并引起用户损失,携程将给与全额赔偿。并将邀请信息安全卫士,一起加固系统信息安全,并奖励为携程找出漏洞的信息安全卫士。 |
相关阅读:
- [ 03-12]天猫订单信息泄露 福州买家信用卡被盗刷近三千
- [ 09-06]感冒药购买"实名制" 龙岩市民担忧信息泄密
- [ 04-18]教师招考疑考生资料泄露 省教育厅提请公安追查
- [ 04-17]报考后遭遇短信轰炸 南平49名"准教师"不堪其扰
- [ 04-11]福州:购车后接到“退税”电话 车主信息网上卖
- [ 12-23]福州不少老小区信箱已荒废 存在信息泄露隐患
- [ 12-20]新车未到手个人信息已泄露 福州一车主被骗1万元
- [ 05-08]网上报考个人信息泄漏 考生遭“卖题”电话骚扰
打印 | 收藏 | 发给好友 【字号 大 中 小】 |
信息网络传播视听节目许可(互联网视听节目服务/移动互联网视听节目服务)证号:1310572 广播电视节目制作经营许可证(闽)字第085号
网络出版服务许可证 (署)网出证(闽)字第018号 增值电信业务经营许可证 闽B2-20100029 互联网药品信息服务(闽)-经营性-2015-0001
福建日报报业集团拥有东南网采编人员所创作作品之版权,未经报业集团书面授权,不得转载、摘编或以其他方式使用和传播
职业道德监督、违法和不良信息举报电话:0591-87095403(工作日9:00-12:00、15:00-18:00) 举报邮箱:jubao@fjsen.com 福建省新闻道德委举报电话:0591-87275327