您的位置 首页 >> 双鱼座

携程漏洞曝光隐私保护短板

来源:贵阳星座网 时间:2020年08月07日

携程漏洞曝光隐私保护短板

3月22日,18点18分。一个编号为54302的漏洞报告,被曝光在互联安全问题反馈平台乌云()之上,发布者是乌云的核心白帽子黑客猪猪侠。这份报告表明,携程的一个漏洞会导致大量用户银行卡信息泄露,而这些信息可能直接引发盗刷等问题。

这一消息很快通过媒体广为流传,关注度甚至超过稍后曝出的另一条《华为总部服务器遭美国安局入侵》,也超出此前曝光一些看似也很严重的漏洞。

一个让用户换卡的漏洞

这个漏洞是怎么回事儿?据介绍,由于携程(48.84, -0.65, -1.31%)用于处理用户支付的安全支付服务器接口存在调试功能,将用户的支付记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意黑客读取。

所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为敏感信息泄露的漏洞,被指可能导致大量携程用户的信息曝光,包括:持卡人姓名、身份证、银行卡号、银行卡CVV码、6位卡Bin等非常敏感的内容。

携程官方的解释为:技术开发人员为了排查系统疑问,留下了临时日志,因疏忽未及时删除。不过MediaV公司CTO胡宁还是通过微博批评称:数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞。

有携程的同行对新浪科技表示,携程在无线端有过不是非常安全的做法,这种方式虽然便于用户操作,但存在一定的安全风险。而携程内部人士对新浪科技表示,这是一次意外的安全事故,携程并非有意保存用户的相关信息,出现这样的问题携程内部也觉得不可理解。

用户们更是不可理解。这次漏洞外泄的信息,意味着用户银行卡的几乎全部信息都存在曝光风险,有了这些信息,信用卡被盗刷可能变成一件易如反掌的事情。

面临最大风险的,是来自于近期曾经通过携程无线端有过交易行为的用户。携程并没有公布漏洞存在的时间和范围,所以规避风险的最佳办法,就是立即联系银行换卡。

据招商银行(8.24, 0.26, 3.26%)信用卡客服透露,这几天有很多用户已就携程漏洞问题致电咨询,其中大部分已经采取立即注销原有信用卡、另行开通新卡的避险措施。招商银行工作人员介绍说,重新制作信用卡需要两天时间,加上递送大约需要一周时间,这期间信用卡无法使用。

关键事项:CVV与PCI

面临泄露风险的信息中,CVV更是成为关注的焦点。

CVV(Card Verification Value)也被称作CVC(Card Validation Code),资料显示,这部分信息是由卡号、有效期和服务约束代码生成的3位或4位数字,一般写在卡片磁条的2磁道用户自定义数据区里面。CVV和CVC的生成方法是一样的,只是叫法不一样而已。

这个信息被用来在交易时进行核对。CVV在联机交易(刷卡)的时候核对,而在不实际刷卡的交易过程中,这个信息更是有着决定性的作用。不过值得详细说明的是,我们通常在不刷卡的支付过程中,需要提供的信息其实叫做CVV2,也就是卡片背面签名档旁边的三位数。

作为敏感信息,CVV2在互联支付等不刷卡的交易中,有着明确的处理规定。

根据中国银联发布的《银行卡收单机构帐户管理标准》,各收单机构系统只能存储用于交易清分、卡片验证码、个人标识代码(PIN)及卡片有效期。磁道信息、卡片验证码、个人标识代码、卡片有效期只用于完成银联卡交易,不能用于除此之外的任何其他用途。

多家提供在线支付的服务商也对新浪科技表示,在实际操作中会根据相关规定,不会对用户的相关信息违规存储。与CVV相比,另一个让携程面临指责的英文缩写是PCI。

PCI,在金融业内通常代指支付卡行业数据安全标准,即PCI-DSS(Payment Card Industry Data Security Standard)。制定PCI目的是为了优化信用卡,借记卡和现金卡交易的安全,保护持卡人的个人信息,以防被他人利用。

在此次泄露事件中,有人指责携程不具备符合PCI标准的资质,并将此归因于携程在流程上出问题的原因。VeryCD创始人戴云杰就公开质疑携程:CVV2属于不应存储的敏感数据。而有获得PCI资质的携程同行告诉新浪科技,这个资质申请并不容易,能通过也要耗时一年。

携程究竟有没有PCI资质呢?官方给出的回应是:携程的做法,符合PCI-DSS规定。携程将进一步严格按照PCI-DSS的监管要求执行。

93通与1个用户

当然关于PCI的讨论并不是当务之急,也有获得PCI资质也同样出事的反例。对于普通用户而言,最核心的问题是:我究竟安不安全?

详细信息披露的缺乏,让规模庞大的携程用户群体惴惴不安。官方的说法是:经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。携程将在23日逐个通知这93名用户,没有接到则表明是安全的,无需担心。

93这个规模,相对于携程只能算是极少数。一位22日在携程平台有过交易的用户对新浪科技表示,并没有收到来自携程方面的通知。然而和另几位近期有过携程交易的用户一样,他们都对个人信息的安全表达了深度的担忧,对携程的信任感也降至最低。

实际上,在新浪科技取得联系的携程用户中,大部分人已经采取了换卡的处理方式。

好消息是截至目前,还没有公开的信息显示有携程用户因为这一漏洞遭遇损失。而不好的消息是,携程信息泄露的情况,或许在更早之前已经造成伤害。

广西用户严茂军就是一个案例。按照这位携程钻石卡会员的描述,今年2月25日一早,他的相继出现多条信用卡消费的短信提示,有的以美元结算、有的以英镑结算、有的以欧元结算,这几笔扣款合计金额不到人民币两万元。

几番追究之后,严茂军把怀疑对象锁定在携程身上,据他的描述只有和携程账号绑定的三张信用卡,在2月25日那天出现了十几笔盗刷外币的事件,而其另外的三张信用卡则相安无事。不过严茂军所提出的质疑,没有其他更为严密的证据能够证明,也很难让携程就此承认。

我是这几家银行白金客户,拥有72小时赔付,如果不是我的被盗刷,我无须自己支付,由白金保险承担,在与新浪科技沟通时严茂军说携程的安全漏洞或许成为银行的借口,他担心一旦出现问题会有很多非白金的用户需要自行承担损失。

一位银行业内人士也对新浪科技表示,出现盗刷其实很难追究。

对话白帽黑客猪猪侠

出现与信用卡有关的漏洞,自然会联想到与黑客有关的地下产业链。

上关于黑客以及黑客背后暴利生意的报道,多年以来一直广为流传。国内外与黑客有关的信息盗取事件也层出不穷,例如2011年12月中国最大程序员站CSDN报案称遭遇黑客攻击、600余万用户信息被泄露;去年12月,美国第三大零售商Target的4000万顾客信用卡数据被盗。

知名互联信息安全专家sunwear在新浪(65.8, -0.33, -0.50%)微博中表示,黑客圈做信用卡产业很成熟,欧美台日等都是黑客的目标,很多站都会储存信用卡的卡号、CVV、到期日等信息,太多携程只是冰山一角,虽然很多数据是加密或隐藏信息但不一定好使。

他还放出一张某黑客位于荷兰的服务器中的信息截图,其中的信用卡资料来自中东某航空公司和几个台湾站,总量在700万条左右,按照黑客圈价格欧洲的卡一张可以做出几百块,你们自己想利润吧。不过我看到时数据已经放那一年里,早被洗过了。

不过并不是所有的黑客都从事这样的生意。黑客中有一类被称为白帽黑客,他们主要利用自己的技术测试络和系统的性能,并不通过这种方式牟利。

这次披露携程漏洞的,就是乌云平台的核心白帽黑客猪猪侠,在微博上他的ID是一串英文名,而他五位数的使用的又是另一个三字中文名称。猪猪侠有着一串骄人的战绩,被他发现漏洞的企业包括:携程、腾讯(587, 14.50, 2.53%, 实时行情)、优酷(28.3, -0.48,-1.67%)、易(63.93, -0.55, -0.85%)、盛大仅在乌云披露的漏洞数量已达125个。

这份报告显示,腾讯客户端某默认安装空间存在严重安全缺陷,黑客可远程获取任意好友的ClientKEY;结合另外一个漏洞,即可绕过腾讯单点登陆系统的IP访问限制,登录好友的全线业务系统,包括空间、相册、邮箱、腾讯微博等。

菏泽白癜风重点医院
通化白癜风医院有哪些
冶疗跌打损伤的中成药有哪些
标签:
友情链接+
贵阳星座网