您当前的位置: 首页 > 旅游

携程出现安全漏洞可致信用卡核心信息泄漏

2019-01-11 16:03:08

标签:携程,携程漏洞,携程支付漏洞GoogleNexus7II刷机包下载

漏洞报告平台乌云昨日披露了携程安全漏洞信息,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,支付过程中的调试信息可被任意骇客读取。

安全专家:安全漏洞可致信用卡被盗刷

一位匿名的安全专家告诉腾讯科技,根据乌云提供的信息来看,携程违反了银联此前禁止记录CVC的规定,导致这次的事件并没有根本上解决风险的可能。目前用户只能通过信用卡账单查询,才能了解自己的银行卡是否被盗用。

该专家称,这件事情的影响会很大,因为与此前7天等快捷酒店爆出的信息泄漏不同,此次安全漏洞涉及到用户的银行信用卡。举例来说,骇客可以通过用户的号码、银行卡号和CVC(信用卡验证码)注册第三方支付账号,从而跳过用户和银行绑定的,进行盗刷。

CVC即银行信用卡背后的三位验证码,在无卡支付的环节,只需要提供卡号和这三个验证码就能完成支付,银行会默认是用户自己在POS机上刷卡消费。

另一位安全专家对腾讯科技表示,信用卡号、姓名、有效期、CVV码泄露之后,可以实现信用卡离线支付,支付过程不需要提供签名和支付密码。而且,这种支付会被银行确认为持卡人本人操作,任何风险均由持卡人个人承担。

这些数据如果落入攻击者手中,可以用来注册国内外任一家电商服务,特别是国外,如果刚好是双币信用卡,购物只需要点击确认即可完成支付。

“这些数据可以用来创建或关联第三方支付,国内第三方支付公司多达几百家,可以利用的点很多。受害者可能随时出现资金被盗。”该支付专家称。

安全专家指出,一般消费需要密码,也可以是签名,但CVV码会被视为密码或签名。只有三位数,以往很懂信用卡的人,都会教民,申请完信用卡,把背面末三位刮掉。“你外出消费,要是被服务员记录下这些数据,服务员就可花你的钱。”

一位银联互联业务技术负责人告诉腾讯科技,目前支付主要有两类,包括订购类业务和普通互联个人业务,其中订购类业务支付风险较低。

具体来说,订购类业务包括飞机票、火车票预定,以及酒店预定。因为终消费时可以追踪到账单的受益者,所以用户在相关站进行消费时,只需要通过信用卡后CVC码就可以完成支付。

如果是其他互联个人业务,比如络购物等较大金额的支付,就需要动态密码的协助,即银行会发送验证码到上,用户通过输入验证码才能完成支付,因此没有办法盗刷。

该负责人介绍称,目前保障用户信用卡安全的方式主要包括通过安全控件码(上提示的动态验证码)、动态密码、验证与预留号码是否一致,以及其他的风险控制措施,如连续刷卡出现异常交易、银行设定的交易额度控制等。

因此,这次骇客盗取信息后,如果想要进行消费的话,只能通过一些小额免密码支付的方式进行,比如充值和购买点卡,但这对骇客来说时间成本很高。

针对此次乌云漏洞报告,MediaVCTO、原Google技术总监胡宁分析,可能携程并未故意存储CVV信息。但其数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞。一步错,步步错,

“用户信用卡信息泄露,并非犯低级技术错误这么简单。敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这都是常识。”胡宁说。

知名友“花总丢了金箍棒”在微博称:“可靠信源说,如果一周内未使用过携程问题不大,此次漏洞影响范围也不大,他们已经报警。”

安全漏洞可能因APP开发调试导致

据知情人士透露,携程此次用户信息泄露事件,可能是无线研发推进过快而变相导致的。该人士称,携程的安全漏洞,不是在Web页上的漏洞导致,而是无线部门在APP产品调试过程中,保存了日志并在nfig开了目录遍历才出的状况。

某企业负责IT安全的人士向腾讯科技表示,利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险行为。

那么携程的这个安全漏洞可能是怎么造成的?某互联上市公司CTO告诉腾讯科技,不管是App还是Wap或Web,都只是产品的前端表现形式,所调用的数据源必然只有一个。新产品的上线流程一般是开发机-内测试机-发布员发布到外,每个环节都有QA测试,但在紧急或意外情况下,程序员会临时去外修改产品,这么做非常危险,因为跳过了控制流程、跳过了发布员(跟产品开发不是一拨人)。

该人士表示,携程是上市公司,应该有非常严格的控制,猜测是不小心把没有过滤好的内代码目录发布到外了。如果是这种发布错误,问题并不严重,也就是版本控制不力——但如果是有员工跳过流程直接修改,就是特大问题,因为这意味着产品失去了对各环节和安全的控制点。

携程称目前无信用卡被盗刷情况

携程今日回应,称经查,这是携程旅行在技术调试过程中,出现了短时漏洞。消息发布后,携程立即展开技术排查,并在两小时内修复这个漏洞。据携程排查,除漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户信息没有受到影响。

事件发生后,携程同各大银行均取得联系,经核实,目前也没有出现用户信用卡被盗刷的情况。携程称,未来,倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。针对此事给用户造成的困扰,携程旅行诚恳致歉。

昨日晚间携程曾表示,可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有用户收到该漏洞的影响而造成相应财产损失的情况发现。携程将对于提供漏洞信息者给与重奖,对于此次漏洞事件如果有新的进展将持续通报。

银行信用卡中心暂未收到携程应对措施

腾讯科技致电各大银行信号信用卡中心,都表示还没有收到携程官方公告通知具体情况和应对措施,招商银行和民生银行信用卡中心工作人员告诉腾讯科技,暂时不了解携程信用卡信息泄露相关的具体信息,但是客户如果担心私密信息被泄露,会冻结旧卡寄送新的卡片。

专家建议:关闭信用卡上支付功能

安全专家建议用户,注意检查信用卡帐单和消费短信,如果发现异常,及时联系银行,以减轻损失。如果已确定发现信用卡交易异常,怀疑信用卡信息泄露,可选择关闭信用卡上支付功能(对用户影响很大),或者联系银行注销旧卡片,更换新卡。

据悉,携程已建立安全应急响应中心,并设立了信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。据腾讯科技了解,目前很多用户依然很恐慌。

炸金花开发
防风抑尘网价格
水陆挖掘机租赁
推荐阅读
图文聚焦