科技猎携程被曝支付漏洞致信用卡信息泄露,凌晨回应漏洞已修
Bianews报道,3月23日消息,携程今日凌晨在回复支付日志漏洞可能导致用户信用卡泄露一事时回应,目前漏洞已修复,并详细解释漏洞,向用户道歉。
昨日晚间,漏洞报告平台乌云网公布了一条携程网络安全漏洞信息,指其安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin),并称已将细节通知厂商并且等待厂商处理中。
携程在回应中c称,在事件发生后,携程在两小时内修复了漏洞,经查携程用户信息未受影响,同时建立安全应急响应中心,奖励“信息安全卫士”。
事件发生后,携程同各大银行均取得联系,经核实,目前也没有出现用户信用卡被盗刷的情况。携程郑重承诺,未来,倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。
针对此事给用户造成的困扰,携程旅行网诚恳致歉。
携程旅行网一贯对信息安全非常重视,为了更好地保障用户及网站的安全,将广邀信息安全卫士,一起来加固系统信息安全。上周,携程已建立安全应急响应中心(sec.ctrip.com),并设立了信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。
昨日晚间,漏洞报告平台乌云网公布了一条携程网络安全漏洞信息,指其安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin),并称已将细节通知厂商并且等待厂商处理中。
漏洞详情描述:
由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
携程在回应中c称,在事件发生后,携程在两小时内修复了漏洞,经查携程用户信息未受影响,同时建立安全应急响应中心,奖励“信息安全卫士”。
以下为声明全文:
经查,这是携程旅行网在技术调试过程中,出现了短时漏洞。消息发布后,携程立即展开技术排查,并在两小时内修复了这个漏洞。
经查,这是携程旅行网在技术调试过程中,出现了短时漏洞。消息发布后,携程立即展开技术排查,并在两小时内修复了这个漏洞。
据携程排查,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响。
事件发生后,携程同各大银行均取得联系,经核实,目前也没有出现用户信用卡被盗刷的情况。携程郑重承诺,未来,倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。
针对此事给用户造成的困扰,携程旅行网诚恳致歉。
携程旅行网一贯对信息安全非常重视,为了更好地保障用户及网站的安全,将广邀信息安全卫士,一起来加固系统信息安全。上周,携程已建立安全应急响应中心(sec.ctrip.com),并设立了信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。
