3月22日18:18,乌云（Woo Yun）漏洞平台发布消息称：“携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器，有可能被黑客所读取。”

    乌云方面的报告称，漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码（即卡号、有效期和服务约束代码生成的3位或4位数字）以及银行卡6位Bin（用于支付的6位数字），上述信息有可能被黑客所读取。

    该报告全文如下：

    乌云漏洞平台报告全文

    缺陷编号：WooYun-2014-54302

    漏洞标题： 携程安全支付日志可遍历下载导致大量用户银行卡信息泄露（包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin）

    相关厂商： 携程旅行网

    漏洞作者： 猪猪侠

    提交时间：2014-03-22 18:18

    漏洞类型： 敏感信息泄露危害

    等级： 高

    漏洞状态： 厂商已经确认

    漏洞来源： http://www.wooyun.orgTags

    漏洞详情披露状态：

    2014-03-22:细节已通知厂商并且等待厂商处理中

    2014-03-22:厂商已经确认，细节仅向厂商公开

    简要描述：携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。

    （类似IIS或Apache的访问日志，记录URL POST内容）。

    同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

    其中泄露的信息包括用户的：

    持卡人姓名

    持卡人身份证

    所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）

    所持银行卡卡号

    所持银行卡CVV码

    所持银行卡6位Bin（用于支付的6位数字）

    漏洞hash:bf9165488f5e2ea3ca02ec6b310446b0

    针对此漏洞，当天23:22分，携程回复，携程技术人员已经确认该漏洞，并经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。携程客服于今日（3月23日）通知相关用户更换信用卡，银行方面也会尽快协助用户办理换卡手续。

    虽然携程官方申请该事件没有造成大面积的信息泄露，但我们不放从探讨一下漏洞通过怎样出现的呢？

    当我们在携程网订购买酒店、机票时，需要提供个人信息和支付信息，通过携程的安全支付系统完成支付。携程的这个安全支付系统设置了调试的功能，会在支付的同时将用户的支付信息作为日志保存在服务器上。但问题出现在这里，携程并没有对这些日志进行有加密，全部是容易辨识的明文。此外，存储这些日志的服务器还存在“目录遍历漏洞”,这是一种被归类为“敏感信息泄露”的漏洞。利用这个漏洞，黑客可以轻易的绕过服务器认证，获取日志服务器上的目录信息，甚至可以通过构造URL直接读取日志服务器上的文件。黑客窃取用户信用卡信息的过程可能包含以下几个阶段：

    分析泄露出来的携程源代码，发现支付服务器上的用户银行卡信息日志没有加密。

    通过各种手段（社会工程学手段或黑客工具）获取到支付服务器的IP地址，锁定攻击目标。

    利用黑客工具扫描日志服务器，发现其存在“目录遍历漏洞”;

    通过“目录遍历漏洞”找到日志文件位置；

    构造URL读取明文的日志信息。

    不该存的存了，存储了还没有加密，没有加密还不及时删除，这是携程网安全系统中犯的最大错误，事件曝光之后在社交媒体上引起轩然大波。使用过携程服务的网友纷纷表示要更换信用卡，并吐槽说各大银行的服务电话都被打爆了，等待超过20分钟无人接听。

    科技让我们更强大，也更脆弱。作为面向公众服务的电商，应更加注重网络安全建设。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。