3月22日,乌云(WooYun)漏洞平台发布消息称:“携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取”。
乌云(WooYun)漏洞平台昨日披露了携程网安全漏洞信息,漏洞发现者称携程网支付过程中的调试信息可被任意黑客读取,导致持卡人姓名、身份证、银行卡号等信息泄露。昨日23时许,携程表示,此前已经对存在问题进行修复。“携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取”。昨天18时许,乌云网上,一名叫“猪猪侠”的漏洞发现者称,已将细节通知厂商并且等待厂商处理。
该漏洞发现者介绍,由于该漏洞存在,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号等。漏洞发现者进一步解释,该漏洞之所以存在,是由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较为严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被黑客任意读取。当天23时许,携程称,在该消息发布后,立即展开技术排查并在消息发布两个小时内修复问题。携程表示,可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有用户收到该漏洞的影响而造成相应财产损失的情况发生,如果有用户因为该漏洞造成财产损失,携程将提供损失赔偿。携程还表示,将对于提供漏洞信息者给与奖励,对于此次漏洞事件如果有新的进展将持续通报。但由于这些信息一旦遭窃取,足以被用于网购,已经有部分使用携程预定过机票和酒店的消费者为保险起见,选择立即挂失银行卡。
乌云的报告提交者已经描述的足够简单易懂了——你存在携程服务器的信用卡信息有可能被人利用的,至于会不会这么倒霉,就看是否有足够的利用价值了。这次漏洞中,最让人不解的是携程居然私自存储用户的信用卡信息,连密码和安全码也都记录在案……绝对可以算得上一枚定时炸弹了。人生最惨的什么?和小三开房,被老公上网知道了。比这个更惨的是什么?开完房后,发现信用卡还TM被盗刷了。通过互联网,现在这些都可以轻松实现啦,年前流传出了全国4000万开房记录不知道拆散了多少家庭,以后不知道又不知道多少携程VIP用户的信用卡会被盗刷……
就在几星期前,乌云平台曝出了微信存在视频安全漏洞——用户通过微信拍摄、发布于wx.qq.com域名下的视频会被外部用户访问。不过腾讯的反应相当迅速,第一时间暂时停止了‘收藏’中的视频分享功能,并坚称产生这一问题并非微信存在漏洞,原因系部分用户利用了微信“收藏”分享功能,上传并主动在第三方网站传播非法视频内容。至于这些视频是什么以及如何产生的,你懂的。
携程晚些时候对这次漏洞进行了回应,这时已经据漏洞发布者公开曝光过了近4个小时,至于将漏洞反馈给携程到现在更是过了不知道多久,这公关速度……令人堪忧,并且回应中的“目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现。”也够不负责的,你们没收到并不代表没发生。总之,不管是技术问题,还是行业潜规则,存储极为隐私的银行卡(包括密码)等信息,足以吓跑不少用户。
携程这次事件是众多网络事件中的一例,不是第一次也将不是最后一次,随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。面对互联网高速发展同时也面临着网络信息安全,该如何加强网络信息安全呢?
