携程支付日志漏洞 用户信用卡信息泄露

漏洞报告平台乌云网今日在其官网上公布了一条网络安全漏洞信息,指出携程安全支付日志可遍历下载,导致大量用户
银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin),并称已将细节通知厂商并且等待厂商处理中。此外,携程还被曝携程某分站源代码包可直接下载。漏洞详情描述:由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为敏感信息泄露的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
携程旅行网回应:

时间: 2024-08-22 18:51:10

携程支付日志漏洞 用户信用卡信息泄露的相关文章

携程被曝支付日志漏洞致用户信用卡信息泄露

漏洞报告平台乌云网今日在其官网上公布了一条网络安全漏洞信息(链接),指出携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证.银 行卡号.卡CVV码.6位卡Bin),并称已将细节通知厂商并且等待厂商处理中.此外,携程还被曝携程某分站源代码包可直接下载. 漏洞详情描述: 由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来.同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读

携程支付日志泄露 记录支付数据行为遭质疑

昨日携程网被曝出现安全漏洞,用户身份证号.银行卡号.CVV码等信息或遭泄露,银行工作人员称建议用户办理挂失或冻结. 这一事件招致巨大的用户信任危机,携程旅行网官方微博遭受大量用户指责. 用户支付信息泄露 携程称将赔偿损失 根据乌云漏洞平台的描述,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器.同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取. 安全日志包含的信息包

从携程信用卡信息泄露事件谈网上支付安全

最近携程被爆信用卡信息泄露事件,事件内容:http://www.wooyun.org/bugs/wooyun-2010-054302 携程声明:http://pages.ctrip.com/commerce/promote/201403/other/xf/index.html 各种互联网大公司网站各种漏洞:http://www.wooyun.org/index.php 首先,用户通过携程订票在支付时,会将自己的信用卡支付信息在携程的页面中填写好,然后携程通过银行给的接口将表单信息传送给银行进行验

携程信用卡信息泄露的五个基本问题,别拿PCI DSS说事!

携程信用卡信息泄露事件昨日曝光后持续发酵,由于携程用户数量巨大,且在在线旅游业OTA行业树大招风,各路好汉番茄鸡蛋一起招呼,使得此事件大有闹剧化和狗血化趋势.一些不明真相的群众受到别有用心的煽动,开始对用卡安全产生担忧,以下安全牛不代表任何一方利益,仅仅摆一摆几个基本事实和问题: 一.在乌云平台上曝光的携程漏洞是什么? 携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户的支付记录用文本保存了下来.同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中

携程回应安全漏洞问题 称已进行弥补工作

针对今天曝出的携程网安全支付日志漏洞问题,携程在其官方微博上回应称公司相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作. 同时,携程表示,可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生.公司将继续进行网络安全的核查工作,如果有用户因为该漏洞造成财产损失,携程将赔偿损失. 携程对于乌云平台发现漏洞信息表示感谢,并将对于提供漏洞信息者给予奖励.携程旅行网始终对信息安全非常重视,对于此次漏洞事件如果有新的进展将

携程网被疑储存用户信用卡信息有泄露风险

中介交易 SEO诊断 淘宝客 云主机 技术大厅 中国网财经1月10日讯 (记者 马艺文) 近年来,频频发生的信用卡信息泄露事件让以便捷著称的网络支付深陷危机,多名消费者质疑携程旅行网(以下简称"携程网")等电商网站涉嫌储存用户信用卡敏感信息,为日后的用卡安全埋下隐患. 携程被指储存信用卡敏感信息 存在泄露风险 日前,多名消费者向中国网财经中心反映,称在携程网购买产品时,只需进行简单的信息核对即可完成交易.消费者张先生称,自己持信用卡首次在携程 网消费时,需提供信用卡卡种.卡号.有效期.

Google Play隐私保护出漏洞 付费用户个人信息泄露

中介交易 SEO诊断 淘宝客 云主机 技术大厅 Google Play隐私保护出漏洞(腾讯科技配图) 腾讯科技讯(王芮) 北京时间2月15日消息,据国外媒体报道,谷歌(微博)应用商店Google Play在没有获得用户许可的情况下,将付费用户的个人信息透露给了应用开发者. 根据澳大利亚的一位应用开发者丹-诺兰(Dan Nolan)透露,谷歌曾发送给他购买他的应用用户的姓名.住址以及电子邮箱地址,而这些资料足以使他能找到并骚扰那些留下负面评价的用户.诺兰是在近期升级付费用户信息时在他的"商家账户&

东航被曝系统漏洞或致大量用户订单信息泄露

乌云漏洞在12月2日晚间公开了一个关于东方航空大量用户订单信息泄露的漏洞.该漏洞于12月2日提交,漏洞类型为重要敏感信息泄露,危害等级为高.12月2日20:19,乌云白帽子"路人甲"提交了一个关于"东方航空大量用户订单信息泄露"的漏洞,不过目前,漏洞状态仍然是"等待厂商处理".资深航空从业人士指出,这样的漏洞会导致关于旅客姓名.手机号以及航班信息等资料外泄."近期航班短信诈骗频发,如果这些重要信息被不法分子拿到,后果不堪设想."

网信办回应信用卡信息泄露:要尽快立法

新华社"新华视点"栏目1月11日播发了<你的信用卡个人信息"只花5毛钱就能在网上买到"?--银行信用卡信息泄露调查>报道,引发社会广泛关注. 国家互联网信息办公室相关负责人接受"新华视点"记者专访时回应,针对个人信用卡等信息网络泄漏问题,我国将加快研究制订个人信息保护相关法律,加大对非法收集.泄露.出售个人信息行为的打击力度.监管部门还向社会公布了居民信息泄漏举报渠道:公民可通过"12377"举报电话等多种方式维权