您现在的位置: 天下网吧 >> 网吧天下 >> 网吧行业 >> 网络追踪 >> 正文

携程的漏洞比乌云曝光的那些更危险

[作者:佚名 来源:不详 时间:2014-3-25我来说两句
:携程的漏洞比乌云曝光的那些更危险

我认为携程的漏洞比乌云曝光的那些更危险!

因为这些漏洞是流程层面的。

3月23日,我借用别人的手机号拨打携程的电话4008206666,一位服务专员384409接待了我。

我表示,要订从上海去广州的票,这位专员用我借来的手机号注册了一个新的携程会员,姓名是被订票的乘机人D的。

携程专员向我问了乘机人D的姓名、身份证后,在携程专员的帮助下选好航班,准备定票。

在付款的时候,携程的服务专员将电话转至系统,在我输入了一个招商银行的卡号后,电话转回服务专员,服务专员讯问了该信用卡的有效期。(注意:我没有提供信用卡最后三位的数字!也没有提供信用卡主人姓名。)

服务专员表示:如果在30分钟之内支付成功,就可以了。因为银行要审核!

很快,一件可怕的事情出现了:我的手机几分钟之内就收到了信用卡被“预授权”的信息。

1490元钱被“预授权”!

而被刷的信用卡并不是登机人的!且我所给出的招商银行信用卡实际上已经是一张2013年年底刚刚更换的新信用卡,此前在携程上的最后一次订票记录为2013年3月。这意味着,招商银行没有核实CVV码的情况下,审核通过了这笔交易。

是的,在整个过程中,携程的服务专员从未核实过打电话的我的个人信息,没有核实过注册手机的机主是否为拨打电话订票的人,也没有核实过,打电话的人是不是乘机人。

这意味着:一、在携程上通过刷陌生人招商银行信用卡定机票,只要卡号和有效期两个信息;二、携程并未核实信用卡是否是乘机人本人的;三、携程并未采取任何措施向信用卡本人征询是否同意这笔交易。

23日晚,携程副总裁汤澜对我此次购票过程中产生的问题解释是,有的银行需要6个信息才能刷卡,但是招商银行可能只需要两个信息就能扣款。具体流程他也不熟悉,需要等待重听购票时的录音。

24日,携程公共事务部闫鑫回复我“信用卡的MOTO支付通道(即信用卡远程收款系统MOTO pay全称Mail Order andTelephone Order payment,主要为商家与消费者解决非面对面交易的支付问题),客人大多只需要提交完整卡号,有效期及校验码即可用于支付,此方式符合国际惯例并且是国际上通用的网络支付方式;国内电商如果是采用MOTO支付通道,都是按此方式。”

“部分信用卡发卡银行为了提高支付成功率及客人感受,仅需输入卡号及有效期即可支付,此并非源于携程的要求。”

我用自己的手机拨打携程客服时,得到的答案是,只要能证明是携程这方面泄露信息所导致的用户损失,携程负责赔偿。

但问题在于,即便是携程泄露的信息导致了用户损失,用户也几乎没有能力举证证明这一点——现在能够获得用户信用卡信息的渠道实在太多了。

24日上午,记者拨通招商银行信用卡服务中心,服务专员称,此前只接到21、22两天内用户的危险排查,目前没有接到电话的可以放心使用。但当经济观察网记者将23日的订单情况如实反应给招商银行信用卡客户服务中心时,服务专员表示要将此事转到相应部门再查询才能回复。

而如果记者要想冻结(保护)信用卡的使用,是可以的。但是如果每年刷卡不足6次,则需要付年费;如果要注销这张信用卡,也需要交纳60元钱。

那么携程的安全是技术问题,还是流程问题?乌云上的曝光是“第一次”,还是“又一次”?

乌云

事情暴发于3月22日,著名的网站漏洞曝光平台“乌云网”上,网名“猪猪侠”登出了“携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)”以及“携程安全支付日志可遍历下载导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)”的两条信息。

尤其是后面的漏洞类型属于“敏感信息泄露”,危害等级为“高漏洞”。且“厂商已经确认”。

事情的过程是,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。

事情的解决办法正如本文开头所描述的那样,当晚携程很快就在其官方微博上回应称公司相关部门已经在第一时间展开技术排查,并在消息发布两个小时内进行了漏洞弥补工作。

但是,人们关注的是,根据中国人民银行发布的《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。

银联2008年出台的《银联卡收单机构账户信息安全管理标准》中也有称,银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素,并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。

“从目前披露的情况看,携程方面可能存在一些瑕疵”,银联风险管理专家王宇对此声称,我们一直在积极推动相关机构严格落实相关要求,商户及收单机构不能留存持卡人的敏感信息,同时也要采取多种措施提升交易环节的信息安全管理。

但这并不是携程在信息泄露上的全部危险。更大的漏洞,是流程上的不合理。

存储信息资格

“2010年的时候,这个方案已经在用了。”一位支付行业高管透露。如果只有信用卡卡号和有效期就刷卡成功,那么这个漏洞太大了。

“理论上来说第三方支付公司从银行拿接口必须提供实名校验,这就意味着必须提供个人的姓名、身份证号、卡号、CVV有效期才能完成这笔扣费。其实携程无权留取用户的卡等信息,因为这必须是银行或者是第三方有资质的机构。但携程是在走擦边球,一直在做这种留存。据我所知,如果你不给他提供这种接口,携程不会跟你合作。而且合作条件很苛刻。”改人士透露。

从乌云上流传出来的内容看,携程是对用户的银行卡、身份证等敏感信息做了留存的。

更重要的问题是,这显然已经不是个新问题了,携程却一直木有解决。

几天前记者接到过银率网一封邮件:

该邮件中提到,王先生的同事许女士近日要到深圳出差订酒店,她使用公司的固定电话拨打了携程的客服电话,由于订房需要预付房款,许女士就按

本文来源:不详 作者:佚名

相关文章
没有相关文章
我来说两句(请遵守法律法规)
声明
本文来源地址:http://www.ithome.com/
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系邮箱:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧 网吧天下

扫一扫,关注天下网吧微信