您当前的位置: 首页 > 时尚

携程支付信息泄露专家建议用户立即停卡

2019-01-11 22:34:32

今日乌云平台连续披露了两个携程安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意还可读取,日志可以泄 露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。目前携程已经确认了该漏洞,专家建议用户立即向对应银行申请停卡。

漏洞提交者称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。

对此携程官方在乌云漏洞平台确认了这一漏洞信息,称已经在漏洞发布两小时内修复该问题,可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。并表示如果有用户因为该漏洞造成财产损失,携程将赔偿损失。

不过一名络安全人员表示,尚未造成财产损失并不意味着用户的账户及银行卡信息安全,建议用户拨打对应银行的客服申请停卡,或直接办理挂失。

目前微博上已有用户称对相关信用卡进行了挂失处理。

根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》,各收单机构系统只能存储用于交易清分、差错处理所必需的基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。 携程的日志中存储的信息已经超过了该标准的允许范围。

携程支付信息泄露 专家建议用户立即停卡

N软公众号扫一扫 观点新鲜独到,有料有趣,有互动、有情怀、有福利!关注科技,关注N软,让我们生活更加美好!

单身父亲 把蹩脚当作高大上,你之所以不死,是因为现在还没有一个同样的app从窒息的环境中生长出来。明明无比臃肿和死难用,非要说很简洁方便。用”已读“”上线离线“这些煞笔要求来掩盖真正的缺陷,自欺欺人。

Rohs测试仪
水平垂直燃烧试验仪
厦门商标注册
推荐阅读
图文聚焦