|  首页  |  资讯  |  评测  |  活动  |  学院  |  访谈  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 安全>

携程漏洞背后:暴露支付安全现状 携程该道歉

2014-03-24 10:55 作者:www.guigu.org 来源:猎云网 HV: 编辑: 【搜索试试
  昨日晚间,根据乌云漏洞平台的描述,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
  
  持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等重要用户信息均被泄露。这一事件使得携程招致巨大的用户信任危机,其官方微博也遭受大量用户指责。据携程表示,漏洞是由于该公司技术开发人员排查系统疑问时未及时删除临时日志而产生的,目前,这些信息已被全部删除。
  
  不谈此次事件到底产生什么后果,先分享个来自携程用户讲述的亲身经历
  
  携程出了这档子事,我一点也不稀奇。Why I’m not surprised?我就讲一个发生在我身上的事:记得是2011年吧,那会我在印尼出差,回国要途经香港转机需要住一天,就打电话给携程订酒店。
  
  结果什么都谈好了,到了支付环节,携程说需要我的信用卡做担保,我说没问题。信用卡做担保,这不太正常了么?对吧?太正常了!结!果!携程那话务员就开始在电话里拿中文问我的信用卡号、有效期、CVV码以及身份证号!是真的“问”,然后要我把号码念出来,她再大声的重复一遍以校验。
  
  我当时就崩溃了,卧槽这号码是随便说的吗?有信用卡号、有效期、CVV码这三个东西,网上就可以随便刷我卡了好吗?但是没办法,酒店必须得订,当时只有携程订方便,我其他的方式根本不知道。订完酒店吓的我都快尿了,回国之后立马cancel信用卡重新办了一张。
  
  这还没完,我之后和携程投诉,电话打了快一小时,他们那的经理显然完全不理解我在说什么。先一个劲的问说你是怕自己念卡号被别人听去了吗,那你找个僻静地方呗。(吐血不止)然后又一个劲的跟我赌咒发誓保证他们的话务员不会盗用我的卡片信息,说携程话务员是well trained。卧槽你去银行取钱,然后银行因为信任自己的员工就让你把密码直接说出来,这他妈是间谍片对暗号呢吗?我当时非常生气,我说要这样,我哪天去你们公司应聘话务员,一旦开始工作我随便记住哪个客户的信用卡信息,我刷个几千上万,神仙也查不出来。然后怎么讲也讲不通,感觉他们就不认为这是个事,气的我就直接把电话挂了。
  
  这还没完呢,又过了一年,我也是没长记性,异地考托福又想通过携程订酒店,又管我要信用卡信息,到了CVV的时候说让我按键盘输入。我一阵那个欣慰啊,心说我的投诉终于有用了,他们终于明白了这东西不能让人看见,我容易吗我。然后我心里甜滋滋的输入了CVV并按了#号,然后就听到话务员的甜美声音“王先生您刚才输入的CVV是123没错吧?
  
  我当场差点没一口血喷出来,这!尼!玛!有!什!么!意!义!吗?携程岂止是存储CVV码,简直就是没有对这些有重大价值可以给客户造成重大损失的信息有丝毫的重视,他们出了这种事,简直太正常了,太正常了。
  
  大家质疑的不是漏洞,而是携程为什么不尊重行业准则?
  
  此次的携程事件,实际上暴露了普遍存在的支付安全现状。漏洞的发生是在支付服务调试过程中,由于技术人员疏忽导致部分临时日志被乌云专业人士发现并爆料。目前只有爆料的乌云专业人士下载了93人的信用卡信息,且这些信息均为加密保存,除非该人士破解成功并盗用,但其已第一时间将其删除。
  
  从目前情况来看实际影响范围其实并不大,但这件事情仍然引起了业内人士的广泛关注,因为主要的问题不在于这是不是漏洞,而是因为只要有这个日志在,你就是再高明的系统也没用。虽然说这次信息泄露事件是在乌云上首先被爆料出来的,但能被一个人发现的问题,极有可能也被另外一个人发现。
  
  这就需要携程对这个事件中的具体内容加以披露:什么时候开始的这种日志打印?覆盖了多少人的敏感信息?通过审计统计有多少人对这些文件进行了访问?只有回答好这些问题才能解决用户心中的疑虑。
  
  技术人员犯错我们可以理解,但大家最普遍质疑的是:为何携程会保留CVV码等敏感信息?实际上了解电商行业的人都知道,在将cvv2等敏感信息提交到具体的发卡行之前,将其信息暂存是电商行业的普遍做法,否则支付过程中无法将有效参数传递到发卡行。根据支付卡产业数据安全标准(PCIDSS:PaymentCardIndustryDataSecurityStandard)的规定,CVV码的信息在商户是可以暂存的,其安全性由商户保证。
  
  其具体规定主要有两点:
  
  ①用户在商户提交信用卡支付成功后,商户必须立即将CVV码信息删除。②若提交信用卡支付未成功,商户可以将CVV码信息保存7天后清除。
  
  企业针对CVV码的普遍做法都是暂存但不保留,但这些规定携程却并没有严格遵守,所以才有了这次的信息外泄事件。
  
  亡羊补牢现在为时不晚,携程现在要做的是站出来勇于承担自己的错误
  
  目前为止,我们还没有看到公开的正式道歉信。与此同时携程应该尽快修复漏洞,排查哪些客户的信用卡信息遭到了泄露。整理出来,逐一通知泄露的客户,请求客户更换卡片。同时,联系各家受到波及的银行,告知泄露情况,请各发卡行对早泄露卡片做批次block处理。
  
  考虑所有涉及这类信息的应用场景,这些大家应该都没提到,就是,比如使用身份证号、银行卡号CVV等信息用于做验证的场景。下面罗列了一些最常见的验证场景,我们可以看到如果携程公布的信息真实,那么此次泄漏暂时不影响所有网络交易,不会产生风险。至于网上所谓提出的建议改密码毫无作用,因为信用卡网上支付除了网银模式,不涉及到密码!
  
  网银支付:缺少查询密码
  
  快捷支付:缺少手机号和短信验证码
  
  快捷支付绑定:缺少有效期,手机号,短信验证码
  
  银联无卡支付:缺少有效期,手机号,短信验证码
  
  电话订购:缺少有效期
  
  双币卡境外购物:缺少有效期,部分还需要账单地址验证
  
  不过一名资深网络安全人员表示,尚未造成财产损失并不意味着用户的账户及银行卡信息安全,建议用户拨打对应银行的客服电话申请停卡,或直接办理挂失。个人建议不论携程此次事件最终处理结果如何,信用卡信息到底有没有泄露,还是最好及时更换新卡。因为不怕一万,就怕万一。财产安全毕竟是和自己息息相关的大事。
【对“携程漏洞背后:暴露支付安全现状 携程该道歉”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·英特尔芯片新安全漏洞能够导致设备加密功能失效
·博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭窃
·摄像头被曝存安全漏洞 谷歌禁用小米集成功能
·Airbnb的骗局惊魂 利用漏洞收取高额取消费
·英特尔再爆安全漏洞:可拖慢部分芯片速度
·屋漏偏逢连夜雨 FB子公司被爆存在安全漏洞
·腾讯安全披露智能家居漏洞攻击的最新研究
·打造安全生态,华为“漏洞奖励计划”最高奖金100
头条
微博数据疑似大规模泄露,用户手机号等信息外流 微博数据疑似大规模泄露,用户手机号等信息外
3月19日上午,有微博名为安全_云舒的用户转发微博时称:很多人的手机号码泄露了,根据……
·微博数据疑似大规模泄露,用户手机号等信息外
·博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭
·三星手机推送奇怪1通知 该通知源于三星数据泄
·中国计算机病毒应急处理中心监测发现24款违法
· AI入法 首个“AI面试法案”在美国伊利诺斯州
图文
华为智能安防的“神兽”来了 请重新认识智能安防
华为智能安防的“神兽”来了 请重新认识智
发现“好望”角:安防分销迎来“小精智”时代
发现“好望”角:安防分销迎来“小精智”时
区块链骗局都有哪些?区块链下有人暴富有人破产!
区块链骗局都有哪些?区块链下有人暴富有人
2019年网络安全生态峰会举行 智慧共享互信共治
2019年网络安全生态峰会举行 智慧共享互信
最新
·华为智能安防的“神兽”来了 请重新认识智能安防
·发现“好望”角:安防分销迎来“小精智”时代
·微博数据疑似大规模泄露,用户手机号等信息外流
·报告称美国超过八成联网医疗成像设备易受黑客攻击
·Sensor Tower推出20余款App秘密收集数百万用户数
热点
·全国多所高校电脑遭病毒绑架 需要关闭445端口
·区块链骗局都有哪些?区块链下有人暴富有人破
·2019年网络安全生态峰会举行 智慧共享互信共
·苏宁京东接连中招,双十一在即这个套路要小心
·没了乌云谁还敢随便使用那些不安全的网络平台
旧闻
·腾讯安全半年报揭秘区块链“三大安全威胁”
·租车有风险如何能避免 cocar打造安全共享租车
·30余省市社保系统有漏洞 网络安全如何攻防?
·从共享单车被“黑” 看一直被忽视的APP安全
·智能手机信息安全隐患 百度知道为网友支招
广告
硅谷影像
华为智能安防的“神兽”来了 请重新认识智能安防
华为智能安防的“神兽”来了 请重新认识智能安防
发现“好望”角:安防分销迎来“小精智”时代
发现“好望”角:安防分销迎来“小精智”时代
微博数据疑似大规模泄露,用户手机号等信息外流
微博数据疑似大规模泄露,用户手机号等信息外流
Sensor Tower推出20余款App秘密收集数百万用户数据
Sensor Tower推出20余款App秘密收集数百万用户数
DDoS攻击离你有多近?华为未然来揭秘!
DDoS攻击离你有多近?华为未然来揭秘!
英特尔芯片新安全漏洞能够导致设备加密功能失效
英特尔芯片新安全漏洞能够导致设备加密功能失效
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>