庄明浩/文
3月22日晚,国内知名漏洞报告平台乌云公布了一条关于携程的漏洞:
标题为:
携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)
而关于漏洞描述如下:
携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
(类似IIS或Apache的访问日志,记录URL POST内容)。
同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
其中泄露的信息包括用户的:
持卡人姓名
持卡人身份证
所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)
所持银行卡卡号
所持银行卡CVV码
所持银行卡6位Bin(用于支付的6位数字)
上面的技术术语如果你看得不是太懂的话,我简单讲就是:
如果你是携程会员、并且绑定了信用卡或者用自己的信用卡交易过的话,那么你的这个信用卡的所有信息就有可能泄漏。
如果在携程有过信用卡支付经历的朋友应该了解,初次使用的时候需提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息,然后提交支付。但第二次在携程网使用这张信用卡时,只需提供卡号后四位及CVV2码,携程网就会完成这次支付操作。
所以携程是在本地存储了用户的相关信用卡的信息,当有人有权限拿到这些信息的时候就是漏洞爆发的时候,也就是今天出现的问题……
“便捷”和“安全”永远是不可能兼顾的……
而今天问题其实在14年1月就已经有媒体曝光过,只是当时携程官方PR的说法是:“我们有风控”、“我们符合银联的规定”;
(1月的新闻可以本帐号内回复:携程 查看;)
今晚漏洞曝光在乌云平台的时间是18点,晚8点腾讯科技采访携程的时候,携程官方说法是:
“可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有用户收到该漏洞的影响而造成相应财产损失的情况发现。”
不过作为一个当年还算了解一些网络安全知识的脚本小子,我丝毫不怀疑在水下,包含携程所有或者大部分帐户信息、用户个人信息以及全部信用卡信息的数据库已经开始在少数人手中持有。
还有什么叫目前还没有因为这个漏洞引起的用户财产损失?
等损失出来的时候就晚了,这PR我真是服了……
说了这么多基础信息,作为一个普通用户该如何杜绝一切可能的风险呢?
目前合理、快速且有效的方式是换卡,打电话给自己的信用卡发卡行,说明卡的信息已经泄漏需要更换新卡……
当然你需要2-3周的时间拿到新卡……这期间这张信用卡就用不了了,但这总比盗刷好……
还有很多朋友会说我如果盗刷不认不就完了,不是银行负责么?Too simple!
(我已经操作完换卡了,如果以后你的信用卡出现盗刷,到时候别说我没提醒过你……)
多说一句别的,中国的互联网永远有一个水下的世界,它时刻提醒着你要小心……
