携程”漏洞门”已修复未发现财产损失 无需盲目恐慌
近日,乌云(Woo Yun)漏洞平台发布消息,由于携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露。据记者向携程方面了解,漏洞被发现后,携程立即展开技术排查,并在两小时内修复了这个漏洞。携程对于此次事件给客户公众带来的不便和恐慌深表歉意,一些业内人士和信息安全专家也表示,此次事件由于人为疏忽造成,由于携程堵漏及时,对信息安全造成的威胁不大,携程的广大用户不必盲目恐慌。
乌云是谁,漏洞是否补上?
据悉,此前乌云发布的信息称:携程安全支付日志可遍历下载,导致银行卡信息泄露的可能。
据记者了解,乌云(WooYun)漏洞平台是一个位于厂商和安全研究者之间的安全问题反馈平台。其对注册的用户做严格的校验,所有安全信息在按照流程处理完成之前不会对外公开,厂商必须得到足够的身份证明才能获得相关的安全信息。总得来说,“乌云网不会恶意将数据信息扩散的,它也有着严格的安全机制。”
携程在官方声明中表示:经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
携程在漏洞发现后,两小时及时补上漏洞,经排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。携程客服于3月23日通知相关用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。没有接到携程客服换卡通知的用户,个人信息均是安全的。
是否真的安全?专家提醒:用户不必盲目恐慌
关于此次携程的漏洞,因为涉及信用卡信息等,引起了人们的普遍关注,不少此前在携程使用过信用卡的用户都产生质疑,那么是否此前在携程使用过信用卡的用户都需要更换信用卡呢?
根据,携程此前的声明显示,此次事件,共涉及93名存在潜在风险的携程用户,携程已通知存在潜在风险的93名用户更换信用卡。
但携程此次漏洞所泄漏的信息是否真的造成严重后果,记者为此采访了中国黑客元老,知名网络安全专家龚蔚( 网名goodwell)。龚蔚表示,通过查看wooyun网站纰漏的一些细节,我们了解到这次泄密是由于交易信息存放在日志中,而日志的目录恰好暴露在外可以被遍历导致。如果我们换一个场景,若是一个暴漏在外的遍历问题(可以查看到网站的所有文件列表),只不过他记录的是比如图片访问或者留言等日志,那么也不会炒的这么火热了。
“我认为,出现这种状况的很大的可能就是技术人员的一个操作失误或者是安全意识不够强,把调试信息打开,方便了自己的同时方便了黑客。” 龚蔚还表示:“我以前也跟携程的安全人员打过交道,他们非常的重视安全,也有相应的技术控制,可就是个别技术人员的低级失误,才让黑客有机可乘。这是个值得让所有企业引以为鉴的。”#p#分页标题#e#
IDF互联网情报威慑防御实验室万涛接受记者采访时表示:“本次事件发生后,个人认为系统调试不应在生产环境中进行,感觉携程负责安全的朋友们很不容易,遭受着巨大的内部和外部压力,希望本次事件能够引起携程高层对信息安全与公司业务关系的真正重视,作为一家成熟的互联网企业,应该考虑从治理层面重新调整信息安全与公司业务的关系,包括合规性检查等。”
记者还采访了全球知名的Web应用安全组织OWASP上海地区负责人宋国徽:“其实漏洞并没有网上说的影响面那么大,大家也没必要因为这件事就人心惶惶,理智的面对问题,分析问题,解决问题才是最重要的,也希望携程能够在这件事情中汲取教训,加强安全管理和意识,避免此类事情的再次发生,尊重事实,理性评价。”
最后,这些信息安全专家也给出了一些关于信用卡安全的相关提醒,首先,现在一般信用卡都有消费短信提醒,建议持卡人尽量开通,如果收到莫名的消费短信,应该尽快致电相关银行的客服处理。其次,信用卡上3位数的CVV码、有效期等敏感信息不要轻易暴露给陌生人,特别是服务员、收银员。最后,如果发生信用卡丢失的情况,应该尽快致电银行客服进行挂失,以免造成额外的损失。
上一篇:出国去旅行网:借力星星热的韩国京畿道旅游局为什么找上了他们