乌云(WooYun)漏洞平台昨日披露了携程网安全漏洞信息,漏洞发现者称携程网支付过程中的调试信息可被任意黑客读取,导致持卡人姓名、身份证、银行卡号等信息泄露。昨日23时许,携程回应记者表示,此前已经对存在问题进行修复。
“携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取”。昨天18时许,乌云网上,一名叫“猪猪侠”的漏洞发现者称,已将细节通知厂商并且等待厂商处理。
该漏洞发现者介绍,由于该漏洞存在,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号等。
漏洞发现者进一步解释,该漏洞之所以存在,是由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较为严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被黑客任意读取。
当天23时许,携程称,在该消息发布后,立即展开技术排查并在消息发布两个小时内修复问题。携程表示,可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有用户收到该漏洞的影响而造成相应财产损失的情况发生,如果有用户因为该漏洞造成财产损失,携程将提供损失赔偿。
携程还表示,将对于提供漏洞信息者给与奖励,对于此次漏洞事件如果有新的进展将持续通报。
但由于这些信息一旦遭窃取,足以被用于网购,已经有部分使用携程预定过机票和酒店的消费者为保险起见,选择立即挂失银行卡。