乌云笼罩携程被曝泄露用户支付信息

2014-03-24 13:05:00来源: 第一财经日报
    继如家等连锁酒店被曝出泄露客人信息后,又一家大型企业被指泄密客户信息。《第一财经日报》昨日获悉,携程(49.49, 0.01, 0.02%)(CTRP.NASDAQ)在22日被国内安全漏洞监测平台“乌云网”披露:携程旅行网支付日志存在漏洞,用户银行卡信息可被黑客任意读取。携程昨日坦承漏洞的确存在,其已进行修补,并已通知存在潜在风险的93名用户更换信用卡。

  3月22日晚间,携程被一片“乌云”笼罩。当日,乌云漏洞平台披露:由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

  乌云平台指出,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,其中包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。

  携程方面承认漏洞存在。携程昨日向《第一财经日报》表示,其已展开技术排查,并在2小时内修复了这个漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。

  携程表示,经排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。3月22日晚至23日,携程已通知存在潜在风险的93名用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。经各银行反馈,截至目前,没有发生携程用户信用卡被盗刷的情况。

  携程承诺,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。携程同时表示,将加固系统信息安全。

  但有消费者担心,假如发生信用卡损失,如何证明与携程有关?

  微博名为“原子小金刚君”的网友指出,携程的声明从法律和逻辑上看起来没问题,但假如用户被盗刷了,如何先证明信息是从携程泄露的呢?

  主动披露携程漏洞问题的乌云漏洞平台,是一个位于厂商和安全研究者之间的安全问题反馈平台。该平台上有不少“白帽子”,即具有专业技术者,他们有时也会以“骇客”身份进行漏洞检查,但“白帽子”不会恶意牟利,而是善意提醒发生漏洞的企业进行修补。此前乌云曾发现如家等知名连锁酒店有泄露客户信息的问题,并对此进行了披露。

  去年10月,乌云平台披露,自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。

  “现在各大OTA、购物网站等都在力拓(52.65, 0.65, 1.25%)无线端,近期打得不可开交的在线旅游和购物价格战都是为了争夺无线端客户。为了抢个微信红包或获得旅游产品返现等,很多年轻客户捆绑银行卡,但是这种便捷的在线支付背后或许蕴藏着很大的危机。如何监管这些因为网络化经济而带来的支付风险是个十分严峻的问题。”华美首席知识专家赵焕焱分析。



关键字:用户支付信息  携程

编辑:北极风 引用地址:http://www.eeworld.com.cn/xfdz/2014/0324/article_31747.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。
论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
用户支付信息
携程

小广播

独家专题更多

富士通铁电随机存储器FRAM主题展馆
富士通铁电随机存储器FRAM主题展馆
馆内包含了 纵览FRAM、独立FRAM存储器专区、FRAM内置LSI专区三大部分内容。 
走,跟Molex一起去看《中国电子消费品趋势》!
走,跟Molex一起去看《中国电子消费品趋势》!
 
带你走进LED王国——Microchip LED应用专题
带你走进LED王国——Microchip LED应用专题
 
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2016 EEWORLD.com.cn, Inc. All rights reserved