i黑马发现,携程为了实现“携程在手、说走就走”,涉嫌储存用户信用卡支付信息(卡号和CVV2码等),终于在3月22日被乌云漏洞平台爆出有安全问题,可导致用户个人和银行卡信息等泄露。
3月22日下午18:18分,乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露。据乌云平台称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。乌云方面的报告称,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),上述信息有可能被黑客所读取。
当天23:22分,携程回复,携程技术人员已经确认该漏洞,并在两小时内及时修复,对于乌云平台发现的漏洞信息表示感谢。该漏洞受影响的用户为近期的部份交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程旅行网始终对信息安全非常重视,对于此次漏洞事件如果有新的进展将持续通报。
据i黑马了解,乌云是一个位于厂商和安全研究者之间的安全问题反馈平台,此前多次发布国内企业信息系统的技术漏洞,推动企业进行漏洞修复。
乌云漏洞平台报告全文
缺陷编号:WooYun-2014-54302
漏洞标题: 携程安全支付日志可遍历下载导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)
相关厂商: 携程旅行网
漏洞作者: 猪猪侠
提交时间:2014-03-22 18:18
漏洞类型: 敏感信息泄露危害
等级: 高
漏洞状态: 厂商已经确认
漏洞来源: http://www.wooyun.orgTags
漏洞详情披露状态:
2014-03-22:细节已通知厂商并且等待厂商处理中
2014-03-22:厂商已经确认,细节仅向厂商公开
简要描述:携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
(类似IIS或Apache的访问日志,记录URL POST内容)。
同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
其中泄露的信息包括用户的:
持卡人姓名
持卡人身份证
所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)
所持银行卡卡号
所持银行卡CVV码
所持银行卡6位Bin(用于支付的6位数字)
漏洞hash:bf9165488f5e2ea3ca02ec6b310446b0版权声明:转载请注明来源猪猪侠@乌云
——————————————————————————–
漏洞回应厂商回应:危害等级:高
漏洞Rank:20
确认时间:2014-03-22 23:22
厂商回复:携程技术人员已经确认该漏洞,并在两小时内及时修复,对于乌云平台发现的漏洞信息表示感谢。该漏洞受影响的用户为近期的部份交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程旅行网始终对信息安全非常重视,对于此次漏洞事件如果有新的进展将持续通报。
最新状态:暂无
隐患早已埋下:携程被疑储存用户信用卡信息
i黑马注意到,该漏洞的发布者猪猪侠在评论里贴出了一个稿子《携程网被疑储存用户信用卡信息 存在泄露风险》,文章发表时间是 2014-01-10。
在这篇中国网财经中心撰写的文章里称,携程用户反映,在携程网购买产品时,只需进行简单的信息核对即可完成交易。消费者张先生称,自己持信用卡首次在携程网消费时,需提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息,然后提交支付。“然而当我第二次在携程网使用这张信用卡时,只需提供卡号后四位及CVV2码,携程网就会完成这次支付操作。如果当初(携程网)没有在系统中储存信息,它又是如何完成支付的呢?”张先生表示,如此“便捷”的操作让他对自己的信用卡安全倍感担忧,“只要知道这张信用卡卡号和CVV2码的人,就可以用它来消费,根本不需要任何动态或者其他形式的密码,我的资金安全该由谁来保障呢?”
还有消费者称,携程网的人工客服会向用户直接索要信用卡有效期、CVV2码等敏感信息。中国网财经中心记者以电话购买机票为由,拨通了携程网客服电话,在支付环节,记者按语音要求输入信用卡卡号后,客服人员口头询问记者该信用卡的有效期及CVV2码,当记者提出上述敏感信息不方便透露时,客服人员表示“如不提供,就不能完成预定”,并强调携程网不会储存信用卡卡号信息。此外,记者在检索相关信息时发现,不少消费者遭遇过信用卡被盗刷的事件,金额从2万元至500万元不等。
据业内人士介绍,信用卡信息主要包含卡号、有效期、CVV2码等,其中打印在卡片签名区的3位CVV2码又被称作“第二密码”,掌握着该卡的交易授权,即只要提供正确的CVV2码,就能完成支付环节。中国网财经中心记者在中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》中看到如下表述:各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。
携程网华北区公关负责人在接受中国网财经中心记者采访时表示,携程网采用的信用卡支付方式符合国际惯例,“在多年前我们已经得到万事达、VISA等卡组织的认证,由此可见,这些国际金融机构对携程网的的风险控制能力和安全保密能力是持认可态度的,否则他们也不会授权给我们。”
当记者追问携程网客服人员口头索要信用卡有效期、CVV2码等敏感信息,如何保障内部员工不泄露时,这名负责人称此举也系国际通用做法,“公司既然使用这种方式,肯定对风险有足够的把控能力。”而对于记者提出的“携程网是否违反银联规定,在后台保存了用户信用卡相关信息”时,对方未予明确回答。
该负责人强调,携程网从未出现过信用卡盗刷案件,“因为我们主推的是旅游产品,预定时需要消费者提供身份证号码等个人信息,因此一旦盗刷,也能很快查出(嫌疑人)。”但有消费者向记者反映,盗卡人常常在网络论坛以售卖低价机票的方式,利用买家提供的身份证信息去完成消费,“即使警方查出机票实际使用人,人家也是被骗的受害者,如何追究责任呢?”
评论:携程无论如何也不该存CVV码
携程支付信息泄露的报告一经媒体发布,引发了众多讨论和关注:
IT评论员@炳叔说:感谢@乌云-漏洞报告平台 啊,炳叔终于感受到了携程五星级神速客服。(贫僧吐槽,携程在手、说走就走、走的最快是密码,1分钟之内,@携程客服就神回复了)公关比程序员水平高,点个赞吧。携程典型捞过界,旅客只希望你帮忙解决#去哪儿睡哪儿# (本周末,银行客服最辛苦了)携程必须给人家补偿,姑娘嘴唇口红都说没了。(猪一样的队友耍心眼,加班躺枪)
汽车之家创始人@李想第一时间在新浪微博上回应:如果是真的话,携程的市值估计掉一半吧,做空携程的爽了。没有点基本的安全意识,就别偷偷存那些不该存的信息。携程泄露了用户的信用卡信息(我才知道携程偷偷存了不该存的信息);优酷付费会员(我才知道优酷的客服只是页面上的装饰)体系也在今天成功崩溃。
@李想认为:存储了用户信用卡的CVV,还泄漏了。前一个是企业的基本道德问题,后一个是安全问题。有些信息可以存,有些信息无论如何也不能存,携程存了无论如何也不该存的CVV,这相当于把你信用卡的密码存储并泄漏了。需要输入CVV和存储CVV是两个概念。这时候还帮着携程说话的,就是典型的被卖了还帮着数钱的。交易网站存CVV相当于小时工偷偷配了你家的钥匙,同时,他还知道关于你家所有的信息。
新浪微博网友称@猪_大哥: 携程冒被卖空的风险为央行网购限额提供支持证据样本!你是否对非银行系统网上支付开始担忧?4、你是否觉得携程让央行对网上支付、转账等的限制措施似乎变得有道理了有微博网友调侃@更俗:携程对央行是真爱啊……
新浪微博网友@花总丢了金箍棒对携程信用卡泄密进行了详细的梳理,并解答了携程用户该不该换信用卡的疑问:
携程到底怎么了?
“三人成虎”,这是今天晚上携程事件我唯一的感受。最开始我第一反应是,携程的信用卡数据被拖库了,所有在携程上的信用卡数据都面临泄露的风险。很多朋友在微信群聊中相互提醒和询问,“有没有携程信用卡”,“快点去注销所有在携程用过的信用卡”,“招行已经开通携程上相关信用卡注销换卡的绿色通道”,等等消息此起彼伏。
遗憾的是,抛开技术bug问题,携程在这场危机中表现的并不专业,给出的信息并不令人信服。遮遮掩掩的态度,反而让更多的人群心里,坐实了“携程上用过的信用卡都不安全了”的想法。
同样遗憾的是,科技类媒体,在携程信用卡门的事情上,就如同MH370事件中的表现。反而是财新网的报道,解释了一些关键技术问题,并引用了MEDIA V CTO胡宁的微博分析,提供了相关的知识和分析。
在过去的几天里,携程的信用卡数据到底发生了什么?我在携程上用过信用卡,是不是一定要换卡?携程犯的错误是不可饶恕的么?这些最核心的问题,没有人给予回答。
1. 携程信用卡门,到底发生了什么?
乌云的描述,“该漏洞来自于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。”
乌云的描述非常技术,这也是导致大众认为携程信用卡数据全部泄露的重要原因。
请注意描述中,“所有支付过程中的调试信息可被任意骇客读取”。换句话说,携程的信用卡数据,并不存在所有历史数据被拖库的风险,只有正在支付的数据,才有被盗取的可能。
仅仅针对乌云曝出的风险,只有从这一漏洞产生时,直至3月22日晚上11点左右,携程反馈已经修复漏洞后,这一段时间在携程支付过的信用卡存在风险。
从这里来毛估估一下,如果你有一年以上未使用过携程,那么仅仅针对乌云漏洞,你应该是安全的。
个人从非孤立信源得到的消息是,这个安全漏洞产生,与近期开发调试有关。
这个近期到底有多近,我也不知道。携程公布的信息是,对3月21、22日部分客户有风险。
坦率的讲,大多数人应该都不太相信的,哪里有那么巧的事情,22日发现的风险,就影响两天。不过,我个人内部的信源告诉我,这个漏洞出现,初步看来在一周以内。至于为什么携程公布21、22日两天有风险,据说是对相关日志的分析结果。
结合来看,个人供参考意见,如果一周内未在携程有过支付行为的话,仅仅针对乌云的漏洞,你的信用卡应该是安全的。(这只是根据我个人得到的消息分析。)
2.我需要立即更换信用卡么?
这是一个很难的回答的问题。
个人建议如果在一周内使用过携程,特别是21、22日两天的用户,可以选择换卡,并等待携程进一步公开的信息。
超过一年以上未使用过携程的用户,没有必要跟着起哄。
一年到一周之间的用户,个人认为风险并不大,但是如果你一定一定非常纠结担心害怕,那么暂时申请冻结好了。如果不冻结,那么可以选择开通消费短信提醒等信息,帮助加强安全管理。
3.虽然我是可能面临风险的用户,但是我很懒,不想换信用卡可以么?
没有什么不可以,只是可能面临风险。管理上,面对风险的处理有三种方式,规避风险、降低风险和接受风险。不换信用卡,意味着你接受了风险。
如果你真的真的很懒,那么建议设置网银单笔消费额度或者上限,开通短信或者微信提醒等方式以降低风险。
4.携程的处理过程,有什么问题?
坦率的讲,携程的声明并未给出风险提示,这是非常不明智的,并且携程声明给出的结果并不透明,让人难以信服。让我们来看看携程的声明:
“在得知该消息后,公司即展开了技术排查并在消息发布两个小时内修复问题。携程对乌云平台发现漏洞信息表示感谢,并将对于提供漏洞信息者给予奖励。对于此次漏洞事件,如有新进展,携程将持续通报。可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的核查工作,如果有用户因该漏洞造成财产损失,携程将赔偿损失。”
(1) 携程没有透露这个漏洞是什么时候为什么产生的,那么携程的21、22日就很容易被看成是一种掩饰。
(2) 携程没有提示用户可能的风险,而说目前尚未发现造成损失,这有些玩弄文字游戏,推卸责任。
(3) 携程说如果有用户因为该漏洞造成损失,携程将赔偿。那么请问这个损失如何界定?用户因为恐慌而换卡带来的损失,算是这个漏洞造成的么?按携程的字面意思,似乎不会赔偿,但是用户会接受么?
携程,应该详细的公布漏洞产生的原因,时间,并提示用户可能的风险。同时详细说明,为什么进过这些分析后,确定了这些用户可能有风险,携程建议用户如何规避或者降低风险,发生后携程能够为这些用户做些什么?如果携程想要漂亮一点,应该承担风险客户换卡的成本,最不济发个抵用券啥的。否则,用户只会在猜疑中远离携程,如果不信,有谁能够看到招行最近三天的换卡量,就可以知道了。
评论前必须登录!
注册