携程被曝存漏洞 或导致用户信用卡信息泄露

  漏洞报告平台乌云网在其官网上公布了一条网络安全漏洞信息,指出携程安全支付日志可遍历下载,可能导致大量用户银行卡信息泄露,包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin。
  所谓遍历(Traversal),是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。访问结点所做的操作依赖于具体的应用问题。
  乌云方面解释称,该漏洞之所以存在,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
  在拥有以上所泄漏信息的情况下,不法分子可以非常容易的进行信用卡盗刷。目前还不知道多少消费者受到此漏洞的影响。
  该漏洞在乌云网上的等级被标记为高,该漏洞目前的状况是“厂商已经确认,细节仅向厂商公开”。
  业内分析人士对此表示,而此次漏洞所泄漏信息显示,携程的确明文保存了用户相关机密信息,这明显已经违反了银联的相关规定。更糟糕的是,这样敏感的信息并没有被安全的存储,虽然目前还无法确认信息泄漏的范围,但信息被泄漏的可能已经被确认。
  2011年12月22日,黑客在网上公开了知名网站CSDN的用户数据库。当时安全界便指出,明文存储用户密码等核心信息,是安全上非常危险并且业余的做法。时隔2年多,携程在被爆出此漏洞,可以说其安全体系非常脆弱。
  携程方面于昨日晚间在其官方微博上回应:公司相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。
  同时,携程表示,可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的核查工作,如果有用户因为该漏洞造成财产损失,携程将赔偿损失。

携程银行卡信息泄露事情,让我们突然发现携程这样的互联网公司居然违背政府金融监管规定,偷偷的记录了用户的银行卡和信用卡信息。那些追捧和吹嘘叫好互联网金融的人们,这个就送给你们!和中国互联网公司员工天生的道德无底线比,你们差远了。活该被携程支付宝余额宝玩弄!找AV女代言,找艳照门女年会,偷录客户数据,贩卖客户数据,互联网企业员工是天生的道德无底线!
贵圈真乱啊

删了携程留得信用卡信息也没用吧,看泄露似乎是历史日志啊

卡号身份证和背面的cvv码泄露了
现在在携程修改任何信息或解绑都是没用的 因为别人已经拿到你的身份证和信用卡信息了
只能马上挂失信用卡
这样卡号和安全码都会变成新的
以前的信用卡信息就没用了

刚才打电话到招行信用卡热线了
我说我想改一下查询密码和支付密码什么的,客服直接就问我是否是因为邪程的信用卡信息泄露了,我承认了之后对方直接提出帮我换张新卡了
看来银行方面已经接到大量用户电话并且直接做换卡处理方案了

前2天交行打来电话说我信用卡信息被复制已经冻结要帮我换卡,我估计就这个事吧。

携程网出事了!气人的是我昨天在携程刚刚使用过信用卡! cvv是信用卡背面签名栏的3个数字,通常在银行卡号后四位的数字旁边,一般人都用胶布贴住或者刮掉,因为发生过酒店服务员偷偷记录cvv码在外盗刷的案件。 凭cvv码支付的根本不需要密码,亚马逊就是,另外cvv是你没法更改的,只能换卡。

23日下午,携程工作人士表示,此次漏洞共涉及93名存在潜在风险的携程用户,客服会于今日通知相关用户更换信用卡。但对于为何保存用户信用卡CVV码等信息,携程方面没有回应。

据悉,网上有不少携程用户担忧自己信用卡被泄密,并表示要去换卡或注销卡。

“携程及时声明承担赔偿责任值得认可”,上海鼎力律师事务所孙建中律师表示,但携程保存客户信息属于违反银联的规定,如果将客户资料出售则涉及违法,另外,从《消费者权益保护法》看,其技术手段未尽到保护消费者的义务。

根据银联2008年出台的《银联卡收单机构账户信息安全管理标准》,银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素,并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。

孙建中直言,此次漏洞事件中曝出携程保存用户银行卡信息,这个做法欠妥,“这更多的是考虑经营者自身的经济利益,而不是站为客户服务的角度”。

他们已经把出事会赔偿的界限划得清清楚楚了,真是干的漂亮。或未告知为什么要复制人家临时授权过来的锁匙。

我好像记得国家有法律规范如何保存用户隐私信息的。CCV码应该是被严格禁止记录的, 按道理来说携程违法了法律,理论上,用户是可以起诉的。

1、任何电商网站都不应该存储用户完整的支付信息;2、这是有网上支付以来最恶劣的事情;3、任何辩解都是携程的问题;4、短短数小时足够下载走大量数据;5、现在没盗用不等于将来不盗用;6、被盗用时用户无法向携程索赔;7、换信用卡变更CVV码是用户唯一安全出路

【携程存用户银行卡数据被指违规】携程保存用户银行卡信息被指违反银联规定,且未尽保护消费者的义务。乌云漏洞报告平台发布报告称,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人几乎所有卡面和身份信息。携程此次乌龙事件引发招行等用户的退卡换卡潮。

#携程信用卡门# 关于为什么要记录CVV携程应该有必要解释一下吧?互联网时代,最不值钱的就是用户的个人信息,携程广告说得好“携程在手,说走就走”..

镜像链接:谷歌镜像 | 亚马逊镜像

分类: 科技, 电子商务 标签:
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.