携程曝重大安全漏洞,客户信用卡信息恐遭泄漏

摘要: 漏洞报告平台乌云网爆携程网安全漏洞,客户信用卡敏感信息明文存储,并存在被下载可能性。携程已经确认该漏洞的存在,并称已经做了技术处理。受影响消费者需要加强安全防范意识,谨防信用卡被盗刷。

【钛媒综合】3月22日晚间消息,漏洞报告平台乌云网今日在其官网上公布了一条网络安全漏洞信息,指出携程安全支付日志可遍历下载,可能导致大量用户银行卡信息泄露,包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin

在拥有以上所泄漏信息的情况下,不法分子可以非常容易的进行信用卡盗刷。目前还不知道多少消费者受到此漏洞的影响。

该漏洞在乌云网上的等级被标记为高,该漏洞目前的状况是“厂商已经确认,细节仅向厂商公开”。

在厂商回复栏,携程官方表态是:

携程技术人员已经确认该漏洞,并在两小时内及时修复,对于乌云平台发现的漏洞信息表示感谢。该漏洞受影响的用户为近期的部份交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程旅行网始终对信息安全非常重视,对于此次漏洞事件如果有新的进展将持续通报。

其实关于携程储存用户敏感信息一事在年初的时候便有报道。中国网在2014年1月10日时便发表《携程网被疑储存用户信用卡信息,存在泄露风险》一文,质疑携程明文存储用户敏感信息一事。

该文如此描述消费者的担忧:

消费者张先生称,自己持信用卡首次在携程网消费时,需提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息,然后提交支付。然而当我第二次在携程网使用这张信用卡时,只需提供卡号后四位及CVV2码,携程网就会完成这次支付操作。如果当初(携程网)没有在系统中储存信息,它又是如何完成支付的呢?

而当时携程的回答非常冠冕堂皇,携程网华北区公关负责人只是称携程网采用的信用卡支付方式符合国际惯例。

对于支付信息的存储,《银联卡收单机构账户信息安全管理标准》中有明确的规定。其中也包括如下条款:

各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。

而此次漏洞所泄漏信息显示,携程的确明文保存了用户相关机密信息,这明显已经违反了银联的相关规定。更糟糕的是,这样敏感的信息并没有被安全的存储,虽然目前还无法确认信息泄漏的范围,但信息被泄漏的可能已经被确认。

2011年12月22日,黑客在网上公开了知名网站CSDN的用户数据库。当时安全界便指出,明文存在用户密码等核心信息,是安全上非常危险并且业余的做法。时隔2年多,携程在被爆出此漏洞,可以说其安全体系非常脆弱。

消费者如果曾经通过携程进行消费,应该尽快修改支付密码等信息,以防不必要的损失。如果发生相关盗刷事件,应尽快通知银行进行报案,将可能的损失降到最低。(编辑/叶元)

本文系钛媒体原创,转载请注明出处、作者和本文链接
分享到:

第一时间获取TMT行业新鲜资讯和深度商业分析,请在微信公众账号中搜索「钛媒体」或者「taimeiti」,或用手机扫描左方二维码,即可获得钛媒体每日精华内容推送和最优搜索体验,并参与编辑活动。

钛媒体
钛媒体

中国领先的财经科技信息服务提供商。关注微信公众号:钛媒体(ID:taimeiti), 旨在为创新、创业、创造人群,提供最高效、最专业,最具价值的信息交流平台,和相关的职业与资本服务。我们拥有行业内最高质量的内容、作者(意见领袖)及产品线,通过连接最具创造力的创新、创业及变革者,打造中国最大的线上影响力社群。

评论(52

  • 携程客服 携程客服 2014-03-23 14:06 via weibo

    您好,我相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现。 携程对于乌云平台发现的漏洞信息表示非常重视和感谢并将对于提供漏洞信息者给与奖励。对于此次漏洞事件如果有新的进展将持续通报。

    0
    0
    回复
  • 爷们过客匆匆 爷们过客匆匆 2014-03-24 08:47 via weibo

    老百姓挣点钱不容易,对于经济盗劫和危害百姓经济和生活的犯罪分子,国家要立法杀无赦。

    0
    0
    回复
  • 杨志伟_金沙江创业投资 杨志伟_金沙江创业投资 2014-03-24 00:12 via weibo

    回复@汉汉呱呱叫: CVV码相当于银行卡支付密码,任何需要在网络上提示输入CVV码都是不安全的。大多数银行卡绑定功能都要求输入CVV码的做法都是不安全的。

    0
    0
    回复
  • 离不开猫 离不开猫 2014-03-23 23:19 via weibo

    呀……那我肿木办…

    0
    0
    回复
  • IPRdaily IPRdaily 2014-03-23 22:25 via weibo

    转发微博

    0
    0
    回复
  • 在路上的旁观者 在路上的旁观者 2014-03-23 20:13 via weibo

    又是一次"2000w"大数据!!看来这个时代没有安全的数据,只有不努力的hack这句话是对的!!!!//@SegmentFault:据乌云发布消息,持卡人姓名身份证、银行卡号、卡CVV码等都可能泄漏,所以尤其是最近有使用携程的各位最好还是挂失一下信用卡。以后采取在信用卡下另开虚拟卡支付也是不错的方式。

    0
    0
    回复
  • 卡通花束 卡通花束 2014-03-23 19:27 via pc

    本店经营各种卡通花束,包括泰迪熊,美人兔,Hellokitty ,Love熊,巧克力熊,小胖熊,等各种卡通花束

    0
    0
    回复
  • 正在促销 正在促销 2014-03-23 18:23 via weibo

    还好,很久没在携程订过票了。抓狂

    0
    0
    回复
  • FelixPoon FelixPoon 2014-03-23 18:18 via weibo

    [吃驚]

    0
    0
    回复
  • Dodo Dodo 2014-03-23 13:36 via pc

    啊?????????担心的事终于发生。我也持卡在携程网消费财富旅游,携程网扣费交易连密码都不需要,只需验证码,直接可以扣款的。

    携程网能直接扣费,不法分子也可以做得到的呀。这样好象太不安全了。

    0
    0
    回复
  • 易站慢信首席设计师 易站慢信首席设计师 2014-03-23 13:20 via weibo

    #钱庄支付#保障机制下的#软系支付#生态架构、#第三方支付#生态架构及#二维码验证#生态架构,是从根源上综合面对和解决国情现状下公众在面对所有第三方支付时安全支付和身份验证服务的社会化事务服务保障机制!全面具备启动,寻智者前期介入,分享人生价值和财富机遇!

    0
    0
    回复

Oh! no

您是否确认要删除该条评论吗?

分享到微信朋友圈