網易科技訊?3月22日消息,今日烏云平臺連續(xù)披露了兩個攜程網安全漏洞��,漏洞發(fā)現(xiàn)者稱由于攜程開啟了用戶支付服務借口的調試功能,導致攜程安全支付日志可被任意還可讀取���,日志可以泄露包括持卡人姓名�����、身份證��、銀行卡類別����、銀行卡號、CVV碼等信息����。目前攜程已經確認了該漏洞,專家建議用戶立即向對應銀行申請?����??���。
漏洞提交者稱,攜程將用于處理用戶支付的服務接口開啟了調試功能���,使所有向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務器�����。同時因為保存支付日志的服務器未做校嚴格的基線安全配置�,存在目錄遍歷漏洞��,導致所有支付過程中的調試信息可被任意駭客讀取����。
安全日志包含的信息包括:持卡人姓名、持卡人身份證����、所持銀行卡類別(比如,招商銀行信用卡���、中國銀行信用卡)����、所持銀行卡卡號�、所持銀行卡CVV碼以及所持銀行卡6位Bin(用于支付的6位數(shù)字)。
對此攜程官方在烏云漏洞平臺確認了這一漏洞信息��,稱已經在漏洞發(fā)布兩小時內修復該問題�����,可能受影響的為3月21日與3月22日的部分交易客戶����,目前尚沒有發(fā)現(xiàn)因相關問題導致客戶信息泄露及造成損失的情況發(fā)生。并表示如果有用戶因為該漏洞造成財產損失�����,攜程將賠償損失。
不過一名資深網絡安全人員表示��,尚未造成財產損失并不意味著用戶的賬戶及銀行卡信息安全�����,建議用戶撥打對應銀行的客服電話申請?���?ǎ蛑苯愚k理掛失��。
目前微博上已有用戶稱對相關信用卡進行了掛失處理�。
根據(jù)中國銀聯(lián)風險管理委員會2008年發(fā)布的《銀聯(lián)卡收單機構賬戶信息安全管理標準》,各收單機構系統(tǒng)只能存儲用于交易清分���、差錯處理所必需的最基本的賬戶信息��,不得存儲銀行卡磁道信息�、卡片驗證碼��、個人標識代碼(PIN)及卡片有效期。 攜程的日志中存儲的信息已經超過了該標準的允許范圍����。(顧曉波)
