携程被曝存漏洞 用户银行卡信息或被泄露

煎饼

3月22日，乌云平台连续披露了两个携程网安全漏洞，漏洞发现者称由于携程开启了用户支付服务借口的调试功能，导致携程安全支付日志可被任意读取，日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。

+ w/ H, i) t/ G. v　　漏洞提交者称，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做较严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。
6 x  _) R6 O+ Q8 G
) a2 D) {' Z$ C. A% X  V  j  C1 A* S/ w　　所谓遍历通常是指沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞，被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
$ @) h% e2 L+ b6 [. T
　　MediaV CTO、原Google技术总监胡宁根据乌云漏洞报告平台的事故报告分析称，可能携程并未故意存储CVV信息。但其数据传输为明文，且线上长时间打开调试功能，导致系统日志中亦为明文，又未及时清理，所存储的服务器还有安全漏洞，一步错，步步错。
6 t8 H% h% b' X( P% e' Z
  X9 T) t" s9 z+ |　　胡宁在个人微博上表示，用户银行卡信息泄露，并非犯低级技术错误这么简单，“敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标，这都是常识”。

  l0 Q& S9 C2 v$ a　　环球旅讯与携程确认之后，携程对此发表的声明如下：

　　携程承诺，您的网络支付是安全的。携程用户持卡人的支付信息，如姓名、身份证、银行卡号、卡CVV码、6位银行卡BIN（与六位支付密码无关）均按照国际信用卡支付安全标准要求，经过加密处理，携程对所有用户的信息安全全权负责。  

/ V! V, y$ L( c0 U" X　　3月22日18:18，乌云（Woo Yun）漏洞平台发布消息称：“携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器，有可能被黑客所读取。”
' K# ?3 g( r* H4 j) x% j- a+ R: g
2 N9 _8 {( v5 P/ I- ~3 C7 i, L　　对此，携程立即展开技术排查，并在两小时内修复了这个漏洞。经查，携程的技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。

　　经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。携程客服于今日（3月23日）通知相关用户更换信用卡，银行方面也会尽快协助用户办理换卡手续。携程旅行网给予这93名用户每人500元任我行礼品卡作为补偿。截至3月23日22：00，没有接到携程客服换卡通知的用户，个人信息均是安全的，无需担心。为防电话诈骗，请留意携程客服联络呼出电话号码：021-51069999；021-51012299。
" u/ v1 B( i, S# q
　　 3月22日晚至3月23日，携程已通知存在潜在风险的93名用户更换信用卡。经各银行反馈，截至目前，没有发生携程用户信用卡被盗刷的情况。对于此事给广大用户带来的困扰，携程表示诚挚的歉意。携程承诺，未来如果因安全漏洞引起用户损失，携程将承担全部责任并给予赔付。

  H& O! @2 g, r* M　　为了更好地保障用户及网站的安全，携程将广邀信息安全卫士，一起来加固系统信息安全。上周，携程已建立安全应急响应中心，并设立了总额500万的信息安全奖励基金，奖励为携程找出漏洞的信息安全卫士。同时，携程将邀请国际知名信息安全认证机构，来共同保障用户的个人信息安全。