警惕:关注信用卡安全、携程支付信息泄露
昨日乌云漏洞报告平台爆出“携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)”,使用信用卡的网友应该都比较清楚,这些信息极易造成信用卡盗刷。目前似乎没有好的解决办法,大部分网友都认为应该直接冻结、更换信用卡。
漏洞提交者称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。
对此携程官方在乌云漏洞平台确认了这一漏洞信息,称已经在漏洞发布两小时内修复该问题,可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。并表示如果有用户因为该漏洞造成财产损失,携程将赔偿损失。
本身携程记录这些信息已经违反了中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》,从知乎上的消息来看,已经在携程登记过信用卡敏感信息的网友应该尽快冻结或直接更改信用卡,避免造成损失。