携程网安全漏洞,恐泄露用户私密信息

  导读:目前来说,携程用户方面暂时还未曾出现有账户金钱损失,不过此次乌云平台方面曝出的安全漏洞信息可能对携程的企业安全信用、企业合作造成的损伤更大。虽然携程此次在技方面对修复漏洞应对极快,但是随之而来的品牌公关危机让携程应对棘手,而携程目前还要防范对手实施品牌攻击行为的可能。

  在2014年3月23日,乌云平台方面连续公布了携程网的两个安全漏洞,漏洞发现者称因为携程在程序上开启了用户支付服务借口的调试功能,从而导致携程安全支付日志可被任意还可读取,安全支付日志可能会泄露包括持卡人姓名、银行卡类别、身份证、CVV码、银行卡号等信息。

  而漏洞的提交者声称,携程把用于处理用户支付的服务接口开启了调试功能,让所有向银行验证持卡所有者接口传输的数据包都直接保存在了本地服务器上。同时因为保存支付日志的服务器并没有做较严格的基线安全配置,所以存在目录遍历漏洞,导致所有支付过程中的调试信息都可以被任意黑客读取。

  安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。

  乌云漏洞平台将这一漏洞危害等级标注为高,并已通知厂商,目前状态为等待厂商处理中。

  同时被曝光的另一漏洞显示,携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息),目前该漏洞也已被乌云平台确认。(顾晓波)

  虽然携程用户目前还未出现账户金钱损失,但此次曝出的安全漏洞信息对携程的企业安全信用、企业合作的损伤可能更大。携程此次技术漏洞补上之后,随之而来的品牌公关危机更为棘手,目前首先要防范的是对手可能实施品牌攻击行为。

  另据网易科技报道,携程刚与与万事达卡国际组织近日签署合作备忘录,拓展在品牌、支付领域的合作关系,通过联名卡、旅游优惠、电子钱包等计划,推动电子支付在旅游消费领域的创新应用。此次技术漏洞的发生,可能也会对双方的合作蒙上阴影。

  鉴于此次漏洞爆发于周六,在美国东部时间股市开盘之际,携程的股价走势是否会受影响,也值得关注。

  扩展阅读:

  2011年12月25日消息,今天晚上,针对“天涯社区4000万用户密码遭泄露”的消息,天涯官方对腾讯科技发来声明表示,此次被盗的数据为2009年之前的备份数据。天涯恳请用户尽快修改天涯社区相关帐户的密码。天涯市场部负责人对腾讯科技称,所谓的4000万用户是黑客打包的数据文件名称上标的,具体到底有多少用户密码遭泄露,现在还不能确定。但根据天涯技术人员查询,遭泄露的用户不会大于这个数字。

  目前,天涯已向公安机关报案,公安机关也正在调查相关线索。

  早在上周的12月22日,国内最大的开发者社区CSDN的用户密码曾遭到黑客泄漏。而这次随着天涯用户密码遭到泄露,也意味着此次黑客袭击事件的影响进一步扩大。

时间: 2024-10-25 05:57:54

携程网安全漏洞,恐泄露用户私密信息的相关文章

社交网站脸书上病毒肆虐 窃取用户私密信息

硅谷网讯 据国外http://www.aliyun.com/zixun/aggregation/31646.html">媒体报道,美国游说组织FansAgainstKounterfeitEnterprise(FAKE)的创始人埃里克费恩伯格(EricFeinberg)周三表示,一种已经存活了6年时间的病毒正在 Facebook平台上泛滥,这种病毒最大的危害就是窃取用户的银行 账户信息. 这种病毒名为Zeus,主要通过钓鱼式攻击信息传播.当用户遭到钓鱼式攻击后,他们的帐户就会自动向好友发送信

警惕潜伏的“窥秘者”木马盗取用户私密信息

卡巴斯基实验室最近检测到一种名为"窥秘者"木马(Trojan.Win32.Agent.cgjo)的恶意软件. 该木马采用Upack加壳,一般通过网页挂马等方式感染用户计算机.它感染用户计算机后,会释放一些恶意程序到用户磁盘并运行,同时删除自身,使用户不易察觉到已经感染恶意软件.这些恶意程序会自动连接互联网,下载一些后缀为:obj的文件到计算机并运行. 初步分析,这些obj文件为某种广告间谍软件的浏览器辅助对象(BHO).不仅如此,它还会修改注册表,阻止百度工具栏的安装.这些潜伏到计算机

智联招聘86万用户简历遭泄露 含身份证等私密信息

DoNews 12月3日消息 乌云漏洞昨晚在其网站上提交了http://www.aliyun.com/zixun/aggregation/13327.html">智联招聘86万用户简历信息泄露的漏洞,并于今日正式公开.乌云官网显示,黑客可通过漏洞获取包括用户姓名.地址.身份证号.户口等在内的私密信息. 昨日晚间,名为"天地不仁 以万物为刍狗"的漏洞作者发布了该漏洞信息,称已"通知厂商但是厂商忽略",目前乌云正在进一步核查IP地址的准确来源.智联招聘方

用户邮箱当心恶意电子邮件窃取个人私密信息

本报讯 国家计算机病毒应急处理中心通过对互联网的监测发现,近期很多计算机用户受到一些恶意电子邮件的威胁.该恶意电子邮件特别之处在于其附件为.htm(HTML)格式的网页文件.一旦计算机用户点击电子邮件附件,计算机用户的个人私密信息数据等将有可能被窃取. 大连网警提醒:针对以上情况,建议各重点企.事业单位和个人用户采取以下措施来抵御病毒邮件的入侵:及时下载安装操作系统的漏洞补丁程序,同时也要关注热门第三方应用软件的漏洞更新,应尽可能及时升级软件到最新版本:要及时升级计算机系统中防病毒软件和防火墙:

12306有漏洞?泄露用户信息?

今天上午,漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告,危害等级显示为"高",漏洞类型则是"用户资料大量泄漏".   据了解,这则关于12306的漏洞报告,危害登记显示为"高",漏洞类型则是"用户资料大量泄漏",这意味着,这个漏洞将有可能导致所有注册了12306用户的账号.明文密码.身份证.邮箱等敏感信息泄露,而泄漏的途径目前还不知道.   目前该漏洞已经提交给了国家互联网应急中心进行处理,暂无进一步消

Tor 浏览器存在严重漏洞 或泄露用户真实 IP 地址

  网络安全公司 We Are Segment 研究人员 Filippo Cavallarin 近期在 FireFox 浏览器中发现一处关键漏洞 -- TorMoil,能够导致用户真实 IP 地址在线泄漏.该漏洞最终也将影响 Tor 浏览器,因为 Tor 服务的隐私保护核心允许用户在线匿名使用 FireFox 浏览器访问网页. 据称,Linux 和 MacOS 系统的 Tor 浏览器普遍受到影响.不过,目前 Tor Project 已将 Tor 浏览器升级至 7.0.9 版本进行补丁修复. 调查

代码缺陷导致 CloudFlare 泄露大量客户站点的密码等私密信息

据外媒报道,知名网络优化服务(CDN)提供商 CloudFlare 最近遭遇了一起严重的泄露事件,包括 cookies.API 键值.以及密码等在内的许多敏感个人信息被曝光.另据昨晚一篇博文的详细披露,该公司为数百上千万个互联网站点提供 SSL 加密.虽然 CloudFlare 当前暂未证实这批信息被恶意利用,但搜索引擎上的部分缓存又是另一个问题. 2 月 18 号的时候,在谷歌 Project Zero 安全小组工作的 Travis Ormandy 最先在 Twitter 上爆料了此事.但实际

类Path应用能够带起移动私密社交潮流

根据外国媒体的报道,私秘社交的 Path 已经完成了B轮在3000万美元以上的融资计划.而根据相关机构声称,Path 的估值已经达到了2.5亿美元.Path 社交网络在2010年11月城里,已经拥有了超过200万的注册用户.而公司的口号是" Path将会帮助你轻松和友人分享人生".而Path也认为自己为"私人社交",因为Path是基于电子邮件地址和电话号码分享照片,本身具有较强的私密性,从而减轻了用户对陌生人分享照片的担心.Path已经推出了iPhone 和 And

微博势颓 私密社交强力介入

导语: 不知从何时起,笔者的很多朋友都变成了微博迷:初次见面二话不说先互加关注:吃饭前不许别人动筷子先拍照上传微博:正在开会却举起手机发微博--新浪微博似乎已成为一个生活中不可或缺的信息平台.数据显示,在前不久的奥运热潮中,新浪微博的相关微博数已达到了惊人的3.93亿条,而Twitter也只有1.5亿条.坐拥3亿用户的新浪微博已成为一个有极大影响力的社交媒体. 深度交友成趋势 私密社交力克新浪微博? 但是我们也要看到,微博的影响力只来自于意见领袖.明星大V.草根大号.媒体机构--这些不到总用户数