携程现安全漏洞【投资人】探讨

相似文件 换一批

是 否 +2 论坛币

k人 参与回答

经管之家送您一份

应届毕业生专属福利!

求职就业群

赵安豆老师微信：zhaoandou666

经管之家联合CDA

送您一个全额奖学金名额~ !

立即领取

感谢您参与论坛问题回答

经管之家送您两个论坛币！

+2 论坛币

*免费试用申请*高级会员【投资人俱乐部】
https://bbs.pinggu.org/thread-2933814-1-1.html
-----------------------------------------------------
【投资人微博】
https://bbs.pinggu.org/thread-2639304-1-1.html
===========================================================

【投资人】 探讨


(奖励20论坛币)订阅投资实务版&分享文库：https://bbs.pinggu.org/thread-2658595-1-1.html
【投资人影响力】https://bbs.pinggu.org/thread-2707541-1-1.html

额外奖励【投资人】上传下载专区：https://bbs.pinggu.org/thread-2698552-1-1.html


【投资人】主题活动优秀回帖最高奖励100论坛币
====================================================================================================  
【探讨】对最新发生的财经事件，热点（财经）评论文章等，进行讨论，分享个人观点及发表个人见解

来源：网易科技

携程现安全漏洞 可致信用卡核心信息泄漏

22日乌云平台连续披露了两个携程网安全漏洞，漏洞发现者称由于携程开启了用户支付服务借口的调试功能，导致携程安全支付日志可被任意还可读取，日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。目前携程已经确认了该漏洞，专家建议用户立即向对应银行申请停卡。


漏洞提交者称，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

安全日志包含的信息包括：持卡人姓名、持卡人身份证、所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。

对此携程官方在乌云漏洞平台确认了这一漏洞信息，称已经在漏洞发布两小时内修复该问题，可能受影响的为3月21日与3月22日的部分交易客户，目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。并表示如果有用户因为该漏洞造成财产损失，携程将赔偿损失。

不过一名资深网络安全人员表示，尚未造成财产损失并不意味着用户的账户及银行卡信息安全，建议用户拨打对应银行的客服电话申请停卡，或直接办理挂失。

目前微博上已有用户称对相关信用卡进行了挂失处理。

根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。 携程的日志中存储的信息已经超过了该标准的允许范围。

*收藏本版* 加入投资人俱乐部
https://bbs.pinggu.org/thread-2938906-1-1.html

==================================

关注eros_zz  

把握【投资人】最新动态

头像下方【加关注】【加好友】

扫码加我 拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

分享0 收藏0 回帖

关键词：安全漏洞 投资人 thread pinggu 上传下载专区 俱乐部 投资人 影响力 携程 会员

文中说到“服务借口开启了调试功能”，“基线安全配置”，“目录遍历”等，这些词汇都太过专业化，可能对大部分人来说都很陌生。其实客户不用在乎这些，他们只要知道出现了可能泄露自己信息的漏洞就够了。变是唯一的不变，出现漏洞并不可怕，积极行动及时解决问题才是应对之道。再说句题外话，一直以来都觉得计算机是个很神奇的东西，就像可以根据个人需求来定制个程序一样，“hello，world”有着太多的魔力！