被曝存支付漏洞 携程称“已修复”
- 新京报 2014-03-24 08:56:18 佚名 阅读:
乌云漏洞(WooYun)平台3月22日发布消息称,携程旅游网(以下简称“携程”)系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露。携程于该消息发布两小时后表示,已进行技术排查和修复。如用户因此产生损失,携程将赔偿。
乌云平台称:携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。这可能导致用户姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),被黑客所读取。
携程表示,可能受影响的为3月21日与3月22日的部分交易客户。但目前还没有发现因相关问题导致客户信息泄露及造成损失的情况发生。该公司仍在继续进行网络安全的核查工作,如果有用户因该漏洞造成财产损失,携程将赔偿损失。
新浪微博认证为“MediaV CTO,原Google技术总监”的网友“胡宁”认为,携程应该做的是立即提醒被影响用户换卡、道歉并赔偿用户因此导致的任何损失。此外从技术层面上说,敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这都是常识。
携程是目前国内最大的在线旅游服务商。据其官方网站消息,携程向超过1400万用户提供国内酒店查询及预订服务,国际酒店查询及预订服务。这可能导致此次安全漏洞事件会影响很多人。乌云是一个位于厂商和安全研究者之间的安全问题反馈平台,此前多次发布国内企业信息系统的技术漏洞,推动企业进行漏洞修复。