旅游经营管理
乌云爆携程安全支付存漏洞 携程称已排查并将重奖发现者
发布日期:2017-06-13
【旅游圈】(编辑 Menawei)21日下午,著名的乌云漏洞平台发布携程旅行网的安全漏洞报告,报告称:“携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。(类似IIS或Apache的访问日志,记录URL POST内容)。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。其中泄露的信息包括用户的持卡人姓名、身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码、所持银行卡6位Bin(用于支付的6位数字)等信息。“
旅游圈(www.dotour.cn)向携程相关负责人求证,该人士表示在该消息发布后,携程旅行网立即展开技术排查并在消息发布两个小时内修复问题。并且携程对于乌云平台发现漏洞信息表示感谢,并将对于提供漏洞信息者给予奖励。携程旅行网始终对信息安全非常重视,对于此次漏洞事件如果有新的进展将持续通报。
同时,携程表示,可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的核查工作,如果有用户因为该漏洞造成财产损失,携程将赔偿损失。
携程旅行网官方微博在漏洞在2个小时之前将处理结果在微博上转发,而该漏洞发布者猪猪侠也转发携程官微微博,称这是一次负责任的漏洞披露流程,漏洞只有报告者一人知道。旅游圈(www.dotour.cn)联系猪猪侠,至发稿之时止暂未得到回复。
(旅游圈原创报道,转载请注明出处)
粤公网安备 44011302000493号