烫手的大数据：携程爆泄露信用卡信息漏洞

(类似IIS或Apache的访问日志，记录URL POST内容)。

同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

其中泄露的信息包括用户的：

持卡人姓名

持卡人身份证

所持银行卡类别(比如，招商银行信用卡、中国银行信用卡)

所持银行卡卡号

所持银行卡CVV码

所持银行卡6位Bin(用于支付的6位数字)

漏洞hash:bf9165488f5e2ea3ca02ec6b310446b0

针对此漏洞，当天23:22分，携程回复，携程技术人员已经确认该漏洞，并经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。携程客服于今日(3月23日)通知相关用户更换信用卡，银行方面也会尽快协助用户办理换卡手续。

虽然携程官方申请该事件没有造成大面积的信息泄露，但我们不放从探讨一下漏洞通过怎样出现的呢?

当我们在携程网订购买酒店、机票时，需要提供个人信息和支付信息，通过携程的安全支付系统完成支付。携程的这个安全支付系统设置了调试的功能，会在支付的同时将用户的支付信息作为日志保存在服务器上。但问题出现在这里，携程并没有对这些日志进行有加密，全部是容易辨识的明文。此外，存储这些日志的服务器还存在“目录遍历漏洞”,这是一种被归类为“敏感信息泄露”的漏洞。利用这个漏洞，黑客可以轻易的绕过服务器认证，获取日志服务器上的目录信息，甚至可以通过构造URL直接读取日志服务器上的文件。黑客窃取用户信用卡信息的过程可能包含以下几个阶段：

分析泄露出来的携程源代码，发现支付服务器上的用户银行卡信息日志没有加密。

通过各种手段(社会工程学手段或黑客工具)获取到支付服务器的IP地址，锁定攻击目标。

利用黑客工具扫描日志服务器，发现其存在“目录遍历漏洞”;

通过“目录遍历漏洞”找到日志文件位置;

构造URL读取明文的日志信息。

不该存的存了，存储了还没有加密，没有加密还不及时删除，这是携程网安全系统中犯的最大错误，事件曝光之后在社交媒体上引起轩然大波。使用过携程服务的网友纷纷表示要更换信用卡，并吐槽说各大银行的服务电话都被打爆了，等待超过20分钟无人接听。

科技让我们更强大，也更脆弱。作为面向公众服务的电商，应更加注重网络安全建设。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友