央廣網北京3月23日消息(記者韋雪)據中國之聲《新聞晚高峰》報道,昨晚,一則關於攜程旅行網支付日誌存在漏洞,用戶銀行卡信息會被黑客任意讀取的信息在互聯網上廣泛傳播。室內裝潢烏雲漏洞平臺連續發佈兩條漏洞報告,稱攜程安全支付日誌可遍歷下載,這一漏洞導致大量用戶銀行卡信息泄露。對於這一漏洞,攜程方面如何回應?面對越來越普遍,越來越多樣的網上支付手段,用戶的信息安全又該如何保證?
  主動披露攜程存在漏洞的是烏雲漏洞平臺,這個位於廠商和安全研究者之間的安全問題反饋平臺,在22號公佈的信息顯示,“由於攜程用於處理用戶支付的安全支付服務器接口存在調試功能,將用戶支付的記錄用文本保存了下來。同時因為保存支付日誌的服務化療飲食器未做校嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意駭客讀取”。360首席隱私官譚曉生這樣分析,攜程在調試過程中出現的漏洞。
  譚曉生:他這次犯得錯誤,就是化療飲食禁忌他調試的時候把這個東西存下來了,存這一步本身潛在來說就是存在問題的,像cvv碼之類的這種東西屬於特別敏感的信息,盡可能不要存它,哪怕是調試過程中都盡可能不要存它。第二個是他存的東西放到了一個別人從網站的外部能夠訪問的。
  烏雲漏洞平臺公佈的信台南餐飲設備息也得到了攜程方面的確認。今天早上,攜程發佈聲明表示:這是攜程旅行網在技術調試過程中出現的短時漏洞。
  攜程網:昨天也反饋了,主要這個漏洞發生是在3月21號期間到3月22號,可能部分交易的竹北買房客戶,有相應的一個問題可能發生,當然我們目前也沒有排查到有黑客入侵的這樣一個情況,就是可能盜取這樣的信息。
  攜程方面表示,他們已經在消息發佈的兩個小時內修複了問題,“尚未發現因相關問題導致客戶信息泄露以及造成損失的情況發生”。
  攜程網:攜程這邊最大的保證就是,如果後續安全漏洞造成財產損失,我們將會進行全額賠付,對無法去核實的一個問題,我們後臺可以去進行核查的。
  作為綜合性的旅行服務公司,攜程網主要提供包括無線應用、酒店預訂、機票預訂、旅游度假、商旅管理及旅游資訊在內的旅行項目,有超過1.4億的會員用戶。這次被曝出支付漏洞,尤其是記錄了包括信用卡cvv碼在內的隱私信息,引發了不少人對於網上支付安全的擔憂。
  銀行卡的cvv碼被認為是無卡購物的最後一道防線,信息一旦遭到竊取,足以被用於信用卡盜刷。
  360首席隱私官譚曉生:他作為一個卡的驗證手段,他可以讓用戶輸入,輸入完了之後,他應該會找相應的卡中心去進行驗證,就是在整個交易過程中,這個數據是不應該做持久化存儲的,就不應該存下來,他可以用,但是不能存。
  不少攜程的用戶在看到消息之後,選擇連夜向銀行申請取消信用卡。招商銀行信用卡中心的一位工作人員介紹:
  工作人員:很多客服都遇到這個問題了,所以說就是突發事件,可能也會對我們的製作卡片以及郵寄卡片帶來很大的壓力的,一般一個星期之後可以收到,但是這個事情太突然了,很多客戶可能都會涉及到換卡,就會在郵寄方面都會有時效的影響。
  攜程的工作人員表示,對於這次的漏洞事件,攜程方面還在排查,查清楚之後會給公眾一個最終的答覆。
  工作人員:這個的話因為最終我們也會對這個事情給所有的公眾最後的一個答覆,目前我們相應的部門也正在排查相應系統的一個問題,到底是什麼導致這樣一個情況。我們最終還有一個官方回覆,並不是說我們這件事情就這樣結束了。  (原標題:攜程被曝存安全漏洞 客戶信用卡信息或遭泄露)
創作者介紹

螞蟻

qc61qcxdzt 發表在 痞客邦 PIXNET 留言(0) 人氣()