3月22日,乌云平台连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意还可读取,日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。
漏洞发现者进一步解释,该漏洞之所以存在,是由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较为严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被黑客任意读取。
对此,不少信息安全业界人士纷纷表示:此次漏洞所泄漏信息显示,携程的确明文保存了用户相关机密信息,这明显已经违反了银联的相关规定。更糟糕的是,这样敏感的信息并没有被安全的存储,虽然目前还无法确认信息泄漏的范围,但信息被泄漏的可能已经被确认。
22日23时许,携程回应:已经对存在问题进行修复。携程称,在该消息发布后,立即展开技术排查并在消息发布两个小时内修复问题。携程表示,可 能受影响用户为3月21日与3月22日的部分交易客户,目前并没有用户收到该漏洞的影响而造成相应财产损失的情况发生,如果有用户因为该漏洞造成财产损 失,携程将提供损失赔偿。
携程还表示,将对于提供漏洞信息者给与奖励,对于此次漏洞事件如果有新的进展将持续通报。
尽管携程做出以上表态,但这一事件已在信息安全界掀起巨大风波。由于这些携程用户的信用卡信息一旦遭窃取,足以被不法分子利用,目前已经引发部分使用携程预定过机票和酒店的消费者选择立即挂失银行卡。