一个让用户换卡的漏洞
这个漏洞是怎么回事儿?据介绍,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户的支付记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意黑客读取。
所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户的信息曝光,包括:持卡人姓名、身份证、银行卡号、银行卡CVV码、6位卡Bin等非常敏感的内容。
携程官方的解释为:技术开发人员为了排查系统疑问,留下了临时日志,因疏忽未及时删除。不过MediaV公司CTO胡宁还是通过微博批评称:“数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞”。
有携程的同行对新浪科技表示,携程在无线端有过不是非常安全的做法,这种方式虽然便于用户操作,但存在一定的安全风险。而携程内部人士对新浪科技表示,这是一次“意外”的安全事故,携程并非有意保存用户的相关信息,出现这样的问题携程内部也觉得不可理解。
用户们更是不可理解。这次漏洞外泄的信息,意味着用户银行卡的几乎全部信息都存在曝光风险,有了这些信息,信用卡被盗刷可能变成一件易如反掌的事情。
面临最大风险的,是来自于近期曾经通过携程无线端有过交易行为的用户。携程并没有公布漏洞存在的时间和范围,所以规避风险的最佳办法,就是立即联系银行换卡。
据招商银行信用卡客服透露,这几天有很多用户已就携程漏洞问题致电咨询,其中大部分已经采取立即注销原有信用卡、另行开通新卡的避险措施。招商银行工作人员介绍说,重新制作信用卡需要两天时间,加上递送大约需要一周时间,这期间信用卡无法使用。