乌云再曝支付漏洞:携程网中枪 用户信息遭泄
  • 朝晖
  • 2014年03月22日 20:55
  • 0

今天晚间,漏洞报告平台乌云公布最新漏洞称携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。乌云网称已将细节通知厂商并且等待厂商处理中。此外,携程还被曝携程某分站源代码包可直接下载。

漏洞详情描述:

携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。(类似IIS或Apache的访问日志,记录URL POST内容)。

同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

其中泄露的信息包括用户的:

持卡人姓名

持卡人身份证

所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)

所持银行卡卡号

所持银行卡CVV码

所持银行卡6位Bin(用于支付的6位数字)

至截稿时,尚未收到携程官方回应。

乌云再曝支付漏洞:携程网中枪 用户信息遭泄

文章纠错

  • 好文点赞
  • 水文反对

此文章为快科技原创文章,快科技网站保留文章图片及文字内容版权,如需转载此文章请注明出处:快科技

观点发布 网站评论、账号管理说明
热门评论
查看全部评论
相关报道

最热文章排行查看排行详情

邮件订阅

评论0 | 点赞0| 分享0 | 收藏0