携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)

缺陷编号: WooYun-2014-54302
漏洞标题: 携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)
相关厂商: 携程旅行网
漏洞作者: 猪猪侠
提交时间: 2014-03-22 18:18
漏洞类型: 敏感信息泄露
危害等级: 高
漏洞状态: 等待厂商处理
漏洞来源: http://www.wooyun.org

披露状态:

2014-03-22: 细节已通知厂商并且等待厂商处理中
简要描述:

携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。(类似IIS或Apache的访问日志,记录URL POST内容)。

同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

其中泄露的信息包括用户的:
持卡人姓名
持卡人身份证
所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)
所持银行卡卡号
所持银行卡CVV码
所持银行卡6位Bin(用于支付的6位数字)

漏洞hash:bf9165488f5e2ea3ca02ec6b310446b0

携程被曝支付日志漏洞致用户信用卡信息泄露

新浪科技讯 3月22日晚间消息,漏洞报告平台乌云网今日在其官网上公布了一条网络安全漏洞信息,指出携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin),并称已将细节通知厂商并且等待厂商处理中。此外,携程还被曝携程某分站源代码包可直接下载。

  漏洞详情描述:

  由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

  所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。

  目前携程方面已经开始对此漏洞进行调查,至截稿时,尚未给出官方回应。

镜像链接:谷歌镜像 | 亚马逊镜像

分类: 科技, 电子商务 标签:
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.