旗下微信矩阵:

携程支付日志出现漏洞 官方称目前未有用户信用卡被盗刷

漏洞报告平台乌云网昨日披露了携程网安全漏洞信息,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,支付过程中的调试信息可被任意骇客读取。携程今日回应,称经查,这是携程旅行网在技术调试过程中,出现了短时漏洞。携程同各大银行均取得联系,经核实,目前没有出现用户信用卡被盗刷的情况。
2014-03-23 10:08 · 腾讯科技  雷建平   
   

  漏洞报告平台乌云网昨日披露了携程网安全漏洞信息,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,支付过程中的调试信息可被任意骇客读取。

  携程今日回应,称经查,这是携程旅行网在技术调试过程中,出现了短时漏洞。消息发布后,携程立即展开技术排查,并在两小时内修复这个漏洞。据携程排查,除漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户信息没有受到影响。

  事件发生后,携程同各大银行均取得联系,经核实,目前也没有出现用户信用卡被盗刷的情况。携程称,未来,倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。针对此事给用户造成的困扰,携程旅行网诚恳致歉。

  昨日晚间携程曾表示,可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有用户收到该漏洞的影响而造成相应财产损失的情况发现。携程将对于提供漏洞信息者给与重奖,对于此次漏洞事件如果有新的进展将持续通报。

  针对此次乌云漏洞报告,MediaV CTO、原Google技术总监胡宁分析,可能携程并未故意存储cvV信息。但其数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞。一步错,步步错,

  “用户信用卡信息泄露,并非犯低级技术错误这么简单。敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这都是常识。”胡宁说。

  知名网友“花总丢了金箍棒”在微博称:“可靠信源说,如果一周内未使用过携程问题不大,此次漏洞影响范围也不大,他们已经报警。”

  据悉,携程已建立安全应急响应中心,并设立了信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。据腾讯科技了解,目前很多用户依然很恐慌。

【本文由投资界合作伙伴腾讯科技授权发布,本平台仅提供信息存储服务。】如有任何疑问,请联系(editor@zero2ipo.com.cn)投资界处理。