漏洞报告平台乌云网昨日披露了携程网安全漏洞信息,漏洞发现者称由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意骇客读取。
携程网回应称,这次安全漏洞泄露主要原因是携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。经各方证实,尚未发生大规模用户财务损失。
目前,除了漏洞发现人做了少量的测试下载并已全部删除外,并没有出现恶意下载的情况。携程与各大银行已经取得联系,经核实,目前没有出现用户信用卡被盗刷的情况。携程也做出承诺,倘若引起用户损失,携程将全额赔付。
不过,在微博、朋友圈等社交网络平台上,已经有用户表示,其正在向银行申请更换信用卡。
一位匿名的安全专家称,根据乌云提供的信息来看,携程可能违反了银联此前禁止记录CVC码的规定,目前用户只能通过信用卡账单查询,才能了解自己的银行卡是否被盗用。
但是,有知名网友“花总丢了金箍棒”在微博上指出,如果信用卡持有者在一周内没有使用过携程的话并不会受到较大影响,而且这次漏洞影响范围不大。
与此前7天等快捷酒店爆出信息泄露不同的是,因为关心钱袋子,所以这才引起了一些用户的紧张。具体来说,此次事件涉及到了用户信用卡的CVC码,即银行信用卡背后的三位验证码,这三位数字会被视为密码或签名。在一些消费场景下,如利用相关信息注册第三方支付帐号后,拥有这个验证码就可以等同用户使用信用卡后签字的过程,交易会被银行认可。
但是,银行会对用户的消费行为进行风险控制。一位银联互联网业务技术负责人称,风险控制的方式主要包括安全控件码(网上提示的动态验证码)、动态密码、验证与预留手机号码是否一致,以及其他具体场景的判断,如连续刷卡出现异常交易、设定的交易限额等。
因此,假如此次有骇客盗取了用户信息,他也只能通过手机充值、购买游戏点卡等方式小规模地进行消费,但如果他连续通过信用卡进行这样的消费,会被银行记录和识别。但是这样盗取用户财产的成本会非常的高,所以并不实际。
当然,盗取后也可以注册一些海外电商网站进行消费。不过,这要求信用卡是双币信用卡,才能完成支付,也有很多的门槛。
为什么会是携程爆发?
上述银联技术负责人表示,目前支付主要有两类,包括订购类业务和普通互联网个人业务,其中订购类业务支付风险较低。
在进行互联网消费的时候,实际上不同的业务会对消费行为进行不同限制。一般互联网支付业务是需要用户多种验证的,比如会发送验证码短信,用户需要手工输入到页面上完成支付,又或者通过网页生成的动态密码完成。
但是对于携程这类订购类业务的要求比较宽松,因为其能够追踪最终受益者。比如说,用户购买了飞机票、火车票或者订酒店,在最终使用的时候仍然需要身份证件作为辅助验证手段,所以其在支付环节只需要信用卡的CVC码等信息就可以完成交易。
产生漏洞的原因
那么携程的安全漏洞是怎么造成的?有知情人士透露,携程此次用户信息泄露事件,可能是无线研发推进过快而变相导致的。
具体来说,这次携程的安全漏洞,并不是在Web网页上的漏洞导致,而是无线部门在手机APP产品调试过程中,保存了日志并在Web.config开了目录遍历才出的状况。
某企业负责IT安全的人士也表示,利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险行为。
MediaV CTO胡宁也分析称,这可能是携程并未故意存储CVC信息。但其数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞。所以一步错,步步错。
某互联网上市公司CTO称,不管是App还是Wap或Web,都只是产品的前端表现形式,所调用的数据源必然只有一个。新产品的上线流程一般是“开发机——内网测试机——发布员发布到外网”,每个环节都有QA测试,但在紧急或意外情况下,程序员会临时去外网修改产品,这么做非常危险,因为跳过了控制流程、跳过了发布员(跟产品开发不是一拨人)。
携程是上市公司,应该有非常严格的控制,该CTO猜测是不小心把没有过滤好的内网代码目录发布到外网了。如果是这种发布错误,问题并不严重,也就是版本控制不力——但如果是有员工跳过流程直接修改,就是特大问题,因为这意味着产品失去了对各环节和安全的控制点。
预防和处理方式
截至目前,携程回应称,消息发布后,携程立即展开技术排查,并在两小时内修复这个漏洞。用户在携程的交易仍旧是安全的,用户信息没有受到影响。
笔者致电各大银行信号信用卡中心,都表示还没有收到携程官方公告通知具体情况和应对措施,招商银行和民生银行信用卡中心工作人员称,暂时不了解携程信用卡信息泄露相关的具体信息,但是客户如果担心私密信息被泄露,会冻结旧卡寄送新的卡片。
对用户来说,这样的漏洞几乎没有办法防护,但是安全专家建议用户,可以随时注意检查信用卡帐单和消费短信,如果发现异常,及时联系银行,以减轻损失。如果已确定发现信用卡交易异常,怀疑信用卡信息泄露,可选择关闭信用卡网上支付功能(对用户影响很大),或者联系银行注销旧卡片,更换新卡。
本文来源:不详 作者:佚名