攜程針對支付日志漏洞致用戶信用卡信息泄露的官方聲明(點擊放大)
同時���,攜程在聲明中指出,經攜程排查��,僅漏洞發(fā)現(xiàn)人做了測試下載����,內容含有極少量加密卡號信息,共涉及93名存在潛在風險的攜程用戶��。
在聲明中�,我們注意到,攜程雖然對結果進行了補救��,但對一些關鍵信息并沒有給出解釋���。
為何保存CVV安全碼?
我們知道CVV安全碼等同于密碼��,一般進入支付金額這一流程����,用戶被要求輸入身份證號�����、持卡人姓名�、信用卡卡號、信用卡卡背面上三位CVV安全碼�,交易就宣告成功�����,根本無需輸入信用卡密碼����。所以���,它的作用與風險可想而知���。
但攜程卻保存了CVV碼,不幸的是又泄露了��。暫且不說漏洞本身�,但是最起碼的安全意識卻沒有。
就 像某位微博用戶提到的�����,“交易網站存CVV相當于小時工偷偷配了你家的鑰匙���,同時�����,他還知道關于你家所有的信息�。而存儲了用戶信用卡的CVV,還泄漏了��, 前一個是企業(yè)的基本道德問題�,后一個是安全問題�����。有些信息可以存�����,有些信息無論如何也不能存�,攜程存了無論如何也不該存的CVV,需要輸入CVV和存儲 CVV是兩個概念����。”
所以,對與攜程的回應�����,很多人并不滿意�。就像明朝萬達董事長王志海認為的���,“攜程用戶信用卡及信息泄漏事件,攜程旅 行網回復避重就輕��,有漏洞能理解�����,信息不加密也可只算不重視用戶隱私���,重點是為什么要違規(guī)記錄用戶信用卡的cvv?作為號稱經過pci認證的知名電商不應該不知道這是違法行為吧?”
所以�,到這我們不僅要質疑攜程的安全意識�����,而且你是否在違規(guī)呢?
我們知道��,攜程在美國納斯達克上市�����,對于 PCI DSS規(guī)范應該是熟悉的���。PCI DSS 中的要求是針對在日常運營期間需要處理持卡人數(shù)據(jù)的公司和機構提出的���。具體而言���,PCI DSS 對在整個營業(yè)日中處理持卡人數(shù)據(jù)的金融機構、貿易商和服務提供商提出了要求��。PCI DSS 包括有關安全管理�、策略��、過程����、網絡體系結構、軟件設計的要求的列表���,以及用來保護持卡人數(shù)據(jù)的其他措施�。
看來�����,PCI DSS 對攜程又有多少落地呢?延伸到更多涉及支付行業(yè)的企業(yè)��,又有多少拿此規(guī)范應用到支付流程中呢?
事件還原:
3 月22日晚間,漏洞報告平臺烏云網在其官網上公布了一條網絡安全漏洞信息���,指出攜程安全支付日志可遍歷下載���,導致大量用戶銀行卡信息泄露 (包含持卡人姓名身份證、銀行卡號�����、卡CVV碼�����、6位卡Bin)���。此外��,攜程還被曝某分站源代碼包可直接下載 (涉及數(shù)據(jù)庫配置和支付接口信息)�。
漏洞詳情描述:
由于攜程用于處理用戶支付的安全支付服務器接口存在調試功能�,將用戶支付的記錄用文本保存了下來。同時因為保存支付日志的服務器未做校嚴格的基線安全配置�,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意駭客讀取����。
所謂遍歷通常是指沿著某條搜索路線���,依次對樹中每個結點均做一次且僅做一次訪問。這一被歸類為“敏感信息泄露”的漏洞�����,被指可能導致大量攜程用戶持卡人姓名身份證����、銀行卡號、卡CVV碼�、6位卡Bin等信息外泄��。
