攜程出現安全漏洞 可致信用卡核心信息泄漏
漏洞報告平臺烏云網昨日披露了攜程網安全漏洞信息,漏洞發現者稱由于攜程開啟了用戶支付服務借口的調試功能,支付過程中的調試信息可被任意駭客讀取。
安全專家:安全漏洞可致信用卡被盜刷
一位匿名的安全專家告訴騰訊科技,根據烏云提供的信息來看,攜程違反了銀聯此前禁止記錄CVC的規定,導致這次的事件并沒有根本上解決風險的可能。目前用戶只能通過信用卡賬單查詢,才能了解自己的銀行卡是否被盜用。
該專家稱,這件事情的影響會很大,因為與此前7天等快捷酒店爆出的信息泄漏不同,此次安全漏洞涉及到用戶的銀行信用卡。舉例來說,駭客可以通過用戶的手機號碼、銀行卡號和CVC(信用卡驗證碼)注冊第三方支付賬號,從而跳過用戶和銀行綁定的手機,進行盜刷。
CVC即銀行信用卡背后的三位驗證碼,在無卡支付的環節,只需要提供卡號和這三個驗證碼就能完成支付,銀行會默認是用戶自己在POS機上刷卡消費。
另一位安全專家對騰訊科技表示,信用卡號、姓名、有效期、CVV碼泄露之后,可以實現信用卡離線支付,支付過程不需要提供簽名和支付密碼。而且,這種支付會被銀行確認為持卡人本人操作,任何風險均由持卡人個人承擔。
這些數據如果落入攻擊者手中,可以用來注冊國內外任一家電商服務,特別是國外,如果剛好是雙幣信用卡,購物只需要點擊確認即可完成支付。
“這些數據可以用來創建或關聯第三方支付,國內第三方支付公司多達幾百家,可以利用的點很多。受害者可能隨時出現資金被盜。”該支付專家稱。
安全專家指出,一般消費需要密碼,也可以是簽名,但CVV碼會被視為密碼或簽名。只有三位數,以往很懂信用卡的人,都會教網民,申請完信用卡,把背面末三位刮掉。“你外出消費,要是被服務員記錄下這些數據,服務員就可花你的錢。”
一位銀聯互聯網業務技術負責人告訴騰訊科技,目前支付主要有兩類,包括訂購類業務和普通互聯網個人業務,其中訂購類業務支付風險較低。
具體來說,訂購類業務包括飛機票、火車票預定,以及酒店預定。因為最終消費時可以追蹤到賬單的受益者,所以用戶在相關網站進行消費時,只需要通過信用卡后CVC碼就可以完成支付。
如果是其他互聯網個人業務,比如網絡購物等較大金額的支付,就需要動態密碼的協助,即銀行會發送驗證碼到手機上,用戶通過輸入驗證碼才能完成支付,因此沒有辦法盜刷。
該負責人介紹稱,目前保障用戶信用卡安全的方式主要包括通過安全控件碼(網上提示的動態驗證碼)、動態密碼、驗證與預留手機號碼是否一致,以及其他的風險控制措施,如連續刷卡出現異常交易、銀行設定的交易額度控制等。
因此,這次駭客盜取信息后,如果想要進行消費的話,只能通過一些小額免密碼支付的方式進行,比如手機充值和購買點卡,但這對駭客來說時間成本很高。
針對此次烏云漏洞報告,MediaV CTO、原Google技術總監胡寧分析,可能攜程并未故意存儲CVV信息。但其數據傳輸為明文,且線上竟長時間打開調試功能,導致系統日志中亦為明文,又未及時清理,所存儲的服務器還有安全漏洞。一步錯,步步錯,
“用戶信用卡信息泄露,并非犯低級技術錯誤這么簡單。敏感信息需加密存儲、線上開調試功能需慎重、系統日志要及時清理、服務器安全性要達標,這都是常識。”胡寧說。
知名網友“花總丟了金箍棒”在微博稱:“可靠信源說,如果一周內未使用過攜程問題不大,此次漏洞影響范圍也不大,他們已經報警。”
安全漏洞可能因APP開發調試導致
據知情人士透露,攜程此次用戶信息泄露事件,可能是無線研發推進過快而變相導致的。該人士稱,攜程的安全漏洞,不是在Web網頁上的漏洞導致,而是無線部門在手機APP產品調試過程中,保存了日志并在Web.config 開了目錄遍歷才出的狀況。
某企業負責IT安全的人士向騰訊科技表示,利用目錄遍歷攻擊漏洞,攻擊者能夠超過服務器的根目錄,從而訪問到文件系統的其他部分,訪問受限制文件或資源,或者采取更危險行為。
那么攜程的這個安全漏洞可能是怎么造成的?某互聯網上市公司CTO告訴騰訊科技,不管是App還是Wap或Web,都只是產品的前端表現形式,所調用的數據源必然只有一個。新產品的上線流程一般是開發機-內網測試機-發布員發布到外網,每個環節都有QA測試,但在緊急或意外情況下,程序員會臨時去外網修改產品,這么做非常危險,因為跳過了控制流程、跳過了發布員(跟產品開發不是一撥人)。
該人士表示,攜程是上市公司,應該有非常嚴格的控制,猜測是不小心把沒有過濾好的內網代碼目錄發布到外網了。如果是這種發布錯誤,問題并不嚴重,也就是版本控制不力——但如果是有員工跳過流程直接修改,就是特大問題,因為這意味著產品失去了對各環節和安全的控制點。
攜程稱目前無信用卡被盜刷情況
攜程今日回應,稱經查,這是攜程旅行網在技術調試過程中,出現了短時漏洞。消息發布后,攜程立即展開技術排查,并在兩小時內修復這個漏洞。據攜程排查,除漏洞發現人做了少量的測試下載并已全部刪除外,沒有出現惡意下載有關數據的情況,用戶在攜程的交易仍舊是安全的,用戶信息沒有受到影響。
事件發生后,攜程同各大銀行均取得聯系,經核實,目前也沒有出現用戶信用卡被盜刷的情況。攜程稱,未來,倘若發生安全漏洞并引起用戶損失,攜程將給予全額賠付。針對此事給用戶造成的困擾,攜程旅行網誠懇致歉。
昨日晚間攜程曾表示,可能受影響用戶為3月21日與3月22日的部分交易客戶,目前并沒有用戶收到該漏洞的影響而造成相應財產損失的情況發現。攜程將對于提供漏洞信息者給與重獎,對于此次漏洞事件如果有新的進展將持續通報。
銀行信用卡中心暫未收到攜程應對措施
騰訊科技致電各大銀行信號信用卡中心,都表示還沒有收到攜程官方公告通知具體情況和應對措施,招商銀行和民生銀行信用卡中心工作人員告訴騰訊科技,暫時不了解攜程信用卡信息泄露相關的具體信息,但是客戶如果擔心私密信息被泄露,會凍結舊卡寄送新的卡片。
專家建議:關閉信用卡網上支付功能
安全專家建議用戶,注意檢查信用卡帳單和消費短信,如果發現異常,及時聯系銀行,以減輕損失。如果已確定發現信用卡交易異常,懷疑信用卡信息泄露,可選擇關閉信用卡網上支付功能(對用戶影響很大),或者聯系銀行注銷舊卡片,更換新卡。
據悉,攜程已建立安全應急響應中心,并設立了信息安全獎勵基金,獎勵為攜程找出漏洞的信息安全衛士。據騰訊科技了解,目前很多用戶依然很恐慌。
Google Nexus 7 II刷機包下載:http://www.sld007.cn/romlist/882_0_0_1_10
Google Nexus 7 II刷機教程:http://www.sld007.cn/phone/882_4.html
