i黑马发现,携程为了实现“携程在手、说走就走”,涉嫌储存用户信用卡支付信息(卡号和CVV2码等),终于在3月22日被乌云漏洞平台爆出有安全问题,可导致用户个人和银行卡信息等泄露。
3月22日下午18:18分,乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露。据乌云平台称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。乌云方面的报告称,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),上述信息有可能被黑客所读取。
当天23:22分,携程回复,携程技术人员已经确认该漏洞,并在两小时内及时修复,对于乌云平台发现的漏洞信息表示感谢。该漏洞受影响的用户为近期的部份交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程旅行网始终对信息安全非常重视,对于此次漏洞事件如果有新的进展将持续通报。
据i黑马了解,乌云是一个位于厂商和安全研究者之间的安全问题反馈平台,此前多次发布国内企业信息系统的技术漏洞,推动企业进行漏洞修复。
乌云漏洞平台报告全文
缺陷编号:WooYun-2014-54302
漏洞标题: 携程安全支付日志可遍历下载导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)
相关厂商: 携程旅行网
漏洞作者: 猪猪侠
提交时间:2014-03-22 18:18
漏洞类型: 敏感信息泄露危害
等级: 高
漏洞状态: 厂商已经确认
漏洞来源: http://
