3月22日晚间,携程被一片“乌云”笼罩。当日,乌云漏洞平台披露:由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
乌云平台指出,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,其中包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。
携程方面承认漏洞存在。携程昨日向《第一财经日报》表示,其已展开技术排查,并在2小时内修复了这个漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
携程表示,经排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。3月22日晚至23日,携程已通知存在潜在风险的93名用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。经各银行反馈,截至目前,没有发生携程用户信用卡被盗刷的情况。
携程承诺,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。携程同时表示,将加固系统信息安全。
但有消费者担心,假如发生信用卡损失,如何证明与携程有关?
微博名为“原子小金刚君”的网友指出,携程的声明从法律和逻辑上看起来没问题,但假如用户被盗刷了,如何先证明信息是从携程泄露的呢?
主动披露携程漏洞问题的乌云漏洞平台,是一个位于厂商和安全研究者之间的安全问题反馈平台。该平台上有不少“白帽子”,即具有专业技术者,他们有时也会以“骇客”身份进行漏洞检查,但“白帽子”不会恶意牟利,而是善意提醒发生漏洞的企业进行修补。此前乌云曾发现如家等知名连锁酒店有泄露客户信息的问题,并对此进行了披露。
----------------------------------------------------
本公众号将每天发布海外市场的最新研究观点和市场资讯。
在微信公众号搜索“安信国际”立刻关注。
