漏洞报告平台乌云网今日披露了携程网安全漏洞信息,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,支付过程中的调试信息可被任意骇客读取。
在乌云披露该信息后,携程官方表示,两个小时内已经进行修复问题。
该漏洞发现者称,由于该漏洞存在,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。所谓遍历(Traversal),是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。访问结点所做的操作依赖于具体的应用问题。
他解释称,该漏洞之所以存在,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
目前,漏洞发现者称已将细节通知厂商并且等待厂商处理中。
晚间21时45分,携程对腾讯科技做出官方回应。回应称,在该消息发布后,携程旅行网立即展开技术排查并在消息发布两个小时内修复问题。
携程表示,可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有用户收到该漏洞的影响而造成相应财产损失的情况发现。携程将对于提供漏洞信息者给与重奖,对于此次漏洞事件如果有新的进展将持续通报。
同时,目前尚没有发现任何因为网站安全导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的修复工作,如果有用户因为该漏洞造成财产损失,携程将提供损失赔偿。