携程违规存储用户支付信息遭泄露 专家建议用户立即停卡

漏洞提交者称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。

对此携程官方在乌云漏洞平台确认了这一漏洞信息,称已经在漏洞发布两小时内修复该问题,可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。并表示如果有用户因为该漏洞造成财产损失,携程将赔偿损失。

不过一名资深网络安全人员表示,尚未造成财产损失并不意味着用户的账户及银行卡信息安全,建议用户拨打对应银行的客服电话申请停卡,或直接办理挂失。

目前微博上已有用户称对相关信用卡进行了挂失处理。

根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。 携程的日志中存储的信息已经超过了该标准的允许范围。

——

有了卡号,CVV2,有效期就可以完成一次支付了,携程存卡片信息明显是有问你题的!PS:你丫不会是明文存储吧?!

支付卡工业安全标准委员会的支付卡数字安全标准其中第8页和第29页明确写出以任何形式存储CVC/CVV/CVV2码都是被禁止的。

【携程不能想留就留】正如携程公司的口号一样:想走就走。这次携程公司漏洞暴露出来问题就是“想留就留”,视法律、规则于不顾,肆意保留客户信息,并疏于保密义务,最终导致了客户信息外泄。携程公司暴露出来的问题不是个案,是当今我国互联网公司通病!通病不治,客户信息外泄仅仅是个开始。

本来今天想在携程网上预定一张机票,看到携程被曝出有重大安全漏洞,果断放弃在携程网上购票了。现在钱放哪儿都不安全,放在银行也可能倒闭,投资白银有可能被骗,购个房子还要缴税,四处都是盗贱的眼睛,最安全的方式,就是赚了就抓紧花。

再也不用 @携程 了!坑死人了。停卡,换新卡,启用新卡号,所有信用卡关键业务全部都要重来一遍。这一切,都是因为我曾经信任的携程。信任这东西一旦被摧毁,要重建可是挺难的。

携程这次的问题是,不加密储存敏感信息,且在日志中保存了过多的不必要的信息。近期在携程支付过的人应该密切关注这件事。更加过分的是携程官方也没有评估这次泄露的风险和应该采取的防范措施。

我在这里跟大家说件事,看看携程有多可怕,他们公司内部有32万多条的客户信息外泄, 这是相关人员截图给我的,我发这条信息我已逐个电话核实,均是你们携程的用户,你们敢不敢核实下这些手机号是不是你们的用户?!大家在携程开开心心订好行程的同时,自己的信息可能被随意买卖

这份申明是极端不负责任的,信息一旦泄漏安全隐患即存在,如果一年半载后被盗刷携程会认吗?
6297d283jw1eepluj1s6jj20f40qo0wc

携程网非法存储用户信用卡敏感信息,已经不是漏洞那么简单了。知法犯法!卡已挂失换新卡,这辈子都不会再用携程了,无良的企业就应该倒闭!

交易网站存CVV相当于小时工偷偷配了你家的钥匙,同时,他还知道关于你家所有的信息。

携程如果存了CVV,说明携程的安全人员对PCI规范没有任何常识。。。。卡组织可以开罚单了先罚个一千万吧。

银联等机构应当立即取消携程作为收单机构的资格,储存用户密码和CVV码是绝对不可饶恕的

非法储存用户CVV码的事儿怎么不提啊?被盗刷用户怎么证明是因为你们携程泄露而被盗刷的?用了9年的信用卡被迫作废换卡号,损失怎么算?

1、应该有有关部门处理处罚携程违规存储用户CVV;2、携程应主动通知用户去换卡,携程承担换卡费用;3、承诺今后不再存CVV;4、如发生被盗用引起的损失由携程全部承担

【如何保护信用卡】信用卡是古老科技。大家须知:有卡号、有效日期、三位安全码(CVV)这三个明文印刷在信用卡上的信息,就可以网上消费了,无需签名和密码。所有接触过你卡片的人,都有机会盗刷你的卡。小建议:不在任何要CVV的网站消费,用贴纸盖住CVV,可防收银台恶意记下你的信息,也方便开发票。

携程耍完流氓,转头说你们其实是安全的。问题的本质不在有多少人下载了数据,而是你特么值得我信任么?

经常在携程上订票,3月初还通过携程用信用卡订购了机票和酒店,今天看到携程泄密用户信用卡资料的新闻,尤其是还包括卡背面的CVV码,很是无语。已经致电信用卡中心换卡了。按规定,CVV码是不允许商户保存的,这样的携程,是逼我以后换网站订票吗?

昨晚喝酒听哥们讲:携程信用卡这事爆出来不奇怪。上次支付宝高危漏洞出来后,阿里和少数白帽建立了很不错的关系,这次携程出事,最大受益者就是支付宝和淘宝旅游。。。我听完毛骨悚然,国内商战真无是血肉横飞用户遭殃啊

针对昨天乌云网曝出的携程网安全支付日志漏洞问题,该公司回应称共有93名用户的支付信息存在潜在风险,已通知这些用户更换信用卡。

1、银联有规定:各类受理终端不得存储银行卡验证码、个人标识代码、卡片有效期等敏感信息,携程为何要保存这些不允许保存的客户资料?2、此次漏洞在被曝光之前,持续了多少时间?有没有被黑客下载过?这些疑问携程有没有能力查清?

镜像链接:谷歌镜像 | 亚马逊镜像

分类: 科技, 电子商务 标签:
  1. 2014年3月23日14:29 | #1

    信用卡支付密码重置就可以了,要快!无需停卡 销卡 。携程非法获取那么多客户敏感信息,严重怀疑他们的动机。

  1. 本文目前尚无任何 trackbacks 和 pingbacks.