烫手的大数据:携程爆泄露信用卡信息漏洞

来源: 互联网   
2014/3/24 13:02:09
携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取。

(类似IIS或Apache的访问日志,记录URL POST内容)。

同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

其中泄露的信息包括用户的:

持卡人姓名

持卡人身份证

所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)

所持银行卡卡号

所持银行卡CVV码

所持银行卡6位Bin(用于支付的6位数字)

漏洞hash:bf9165488f5e2ea3ca02ec6b310446b0

针对此漏洞,当天23:22分,携程回复,携程技术人员已经确认该漏洞,并经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。携程客服于今日(3月23日)通知相关用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。

虽然携程官方申请该事件没有造成大面积的信息泄露,但我们不放从探讨一下漏洞通过怎样出现的呢?

当我们在携程网订购买酒店、机票时,需要提供个人信息和支付信息,通过携程的安全支付系统完成支付。携程的这个安全支付系统设置了调试的功能,会在支付的同时将用户的支付信息作为日志保存在服务器上。但问题出现在这里,携程并没有对这些日志进行有加密,全部是容易辨识的明文。此外,存储这些日志的服务器还存在“目录遍历漏洞”,这是一种被归类为“敏感信息泄露”的漏洞。利用这个漏洞,黑客可以轻易的绕过服务器认证,获取日志服务器上的目录信息,甚至可以通过构造URL直接读取日志服务器上的文件。黑客窃取用户信用卡信息的过程可能包含以下几个阶段:

分析泄露出来的携程源代码,发现支付服务器上的用户银行卡信息日志没有加密。

通过各种手段(社会工程学手段或黑客工具)获取到支付服务器的IP地址,锁定攻击目标。

利用黑客工具扫描日志服务器,发现其存在“目录遍历漏洞”;

通过“目录遍历漏洞”找到日志文件位置;

构造URL读取明文的日志信息。

不该存的存了,存储了还没有加密,没有加密还不及时删除,这是携程网安全系统中犯的最大错误,事件曝光之后在社交媒体上引起轩然大波。使用过携程服务的网友纷纷表示要更换信用卡,并吐槽说各大银行的服务电话都被打爆了,等待超过20分钟无人接听。

科技让我们更强大,也更脆弱。作为面向公众服务的电商,应更加注重网络安全建设。

共2页: [1]2 下一页
责编:王雅京
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map