分享我们的因特生活

携程被爆保存和泄露信用卡CVV等支付信息

昨天晚上在知名安全漏洞报告平台乌云网公布了一条消息,称国内最大的在线机票和旅游网站携程网被爆存在安全漏洞,指出携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银 行卡号、卡CVV码、6位卡Bin),并称已将细节通知厂商并且等待厂商处理中。此外,携程还被曝携程某分站源代码包可直接下载。

漏洞标题:携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)

披露状态:

2014-03-22:细节已通知厂商并且等待厂商处理中

2014-03-22:厂商已经确认,细节仅向厂商公开

简要描述:

携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。

(类似IIS或Apache的访问日志,记录URL POST内容)。

同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

其中泄露的信息包括用户的:

持卡人姓名

持卡人身份证

所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)

所持银行卡卡号

所持银行卡CVV码

所持银行卡6位Bin(用于支付的6位数字)

目前携程已经就此做出回应,称已经确认该漏洞,目前未发现有用户造成损失,而如果用户因为该漏洞造成的财产损失,携程将给予赔偿。

携程被爆保存和泄露信用卡CVV等支付信息:目前有405 条留言

  1. yuguod
    目前看来,泄露的这些信息应该完全可以完成信用卡支付交易的,而不需要持卡人再确认什么
    2015-10-20 17:51:02 回复

发表留言

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。