|
"津雲"客戶端 |
|||
烏雲網站截圖
漏洞報告平臺烏雲網在其官網上公布了一條網絡安全漏洞信息,指出攜程(49.49, 0.01, 0.02%)安全支付日志可遍歷下載,導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin),並稱已將細節通知廠商並且等待廠商處理中。此外,攜程還被曝某分站源代碼包可直接下載(涉及數據庫配置和支付接口信息)。
漏洞詳情描述:
由於攜程用於處理用戶支付的安全支付服務器接口存在調試功能,將用戶支付的記錄用文本保存了下來。同時因為保存支付日志的服務器未做校嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意駭客讀取。
所謂遍歷通常是指沿著某條搜索路線,依次對樹中每個結點均做一次且僅做一次訪問。這一被歸類為『敏感信息泄露』的漏洞,被指可能導致大量攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息外泄。
目前攜程方面已經開始對此漏洞進行調查,至截稿時,尚未給出官方回應。