天天综合网在线观看,日本三级久久久,国产日产一区 ,www久久com

攜程出現安全漏洞 可致信用卡核心信息泄漏

　　漏洞報告平臺烏云網昨日披露了攜程網安全漏洞信息，漏洞發現者稱由于攜程開啟了用戶支付服務借口的調試功能，支付過程中的調試信息可被任意駭客讀取。

　　安全專家：安全漏洞可致信用卡被盜刷

　　一位匿名的安全專家告訴騰訊科技，根據烏云提供的信息來看，攜程違反了銀聯此前禁止記錄CVC的規定，導致這次的事件并沒有根本上解決風險的可能。目前用戶只能通過信用卡賬單查詢，才能了解自己的銀行卡是否被盜用。

　　該專家稱，這件事情的影響會很大，因為與此前7天等快捷酒店爆出的信息泄漏不同，此次安全漏洞涉及到用戶的銀行信用卡。舉例來說，駭客可以通過用戶的手機號碼、銀行卡號和CVC(信用卡驗證碼)注冊第三方支付賬號，從而跳過用戶和銀行綁定的手機，進行盜刷。

　　CVC即銀行信用卡背后的三位驗證碼，在無卡支付的環節，只需要提供卡號和這三個驗證碼就能完成支付，銀行會默認是用戶自己在POS機上刷卡消費。

　　另一位安全專家對騰訊科技表示，信用卡號、姓名、有效期、CVV碼泄露之后，可以實現信用卡離線支付，支付過程不需要提供簽名和支付密碼。而且，這種支付會被銀行確認為持卡人本人操作，任何風險均由持卡人個人承擔。

　　這些數據如果落入攻擊者手中，可以用來注冊國內外任一家電商服務，特別是國外，如果剛好是雙幣信用卡，購物只需要點擊確認即可完成支付。

　　“這些數據可以用來創建或關聯第三方支付，國內第三方支付公司多達幾百家，可以利用的點很多。受害者可能隨時出現資金被盜。”該支付專家稱。

　　安全專家指出，一般消費需要密碼，也可以是簽名，但CVV碼會被視為密碼或簽名。只有三位數，以往很懂信用卡的人，都會教網民，申請完信用卡，把背面末三位刮掉。“你外出消費，要是被服務員記錄下這些數據，服務員就可花你的錢?！?

　　一位銀聯互聯網業務技術負責人告訴騰訊科技，目前支付主要有兩類，包括訂購類業務和普通互聯網個人業務，其中訂購類業務支付風險較低。

　　具體來說，訂購類業務包括飛機票、火車票預定，以及酒店預定。因為最終消費時可以追蹤到賬單的受益者，所以用戶在相關網站進行消費時，只需要通過信用卡后CVC碼就可以完成支付。

　　如果是其他互聯網個人業務，比如網絡購物等較大金額的支付，就需要動態密碼的協助，即銀行會發送驗證碼到手機上，用戶通過輸入驗證碼才能完成支付，因此沒有辦法盜刷。

　　該負責人介紹稱，目前保障用戶信用卡安全的方式主要包括通過安全控件碼(網上提示的動態驗證碼)、動態密碼、驗證與預留手機號碼是否一致，以及其他的風險控制措施，如連續刷卡出現異常交易、銀行設定的交易額度控制等。

　　因此，這次駭客盜取信息后，如果想要進行消費的話，只能通過一些小額免密碼支付的方式進行，比如手機充值和購買點卡，但這對駭客來說時間成本很高。

　　針對此次烏云漏洞報告，MediaV CTO、原Google技術總監胡寧分析，可能攜程并未故意存儲CVV信息。但其數據傳輸為明文，且線上竟長時間打開調試功能，導致系統日志中亦為明文，又未及時清理，所存儲的服務器還有安全漏洞。一步錯，步步錯，

　　“用戶信用卡信息泄露，并非犯低級技術錯誤這么簡單。敏感信息需加密存儲、線上開調試功能需慎重、系統日志要及時清理、服務器安全性要達標，這都是常識。”胡寧說。

　　知名網友“花總丟了金箍棒”在微博稱：“可靠信源說，如果一周內未使用過攜程問題不大，此次漏洞影響范圍也不大，他們已經報警。”

　　安全漏洞可能因APP開發調試導致

　　據知情人士透露，攜程此次用戶信息泄露事件，可能是無線研發推進過快而變相導致的。該人士稱，攜程的安全漏洞，不是在Web網頁上的漏洞導致，而是無線部門在手機APP產品調試過程中，保存了日志并在Web.config 開了目錄遍歷才出的狀況。

　　某企業負責IT安全的人士向騰訊科技表示，利用目錄遍歷攻擊漏洞，攻擊者能夠超過服務器的根目錄，從而訪問到文件系統的其他部分，訪問受限制文件或資源,或者采取更危險行為。

　　那么攜程的這個安全漏洞可能是怎么造成的?某互聯網上市公司CTO告訴騰訊科技，不管是App還是Wap或Web，都只是產品的前端表現形式，所調用的數據源必然只有一個。新產品的上線流程一般是開發機-內網測試機-發布員發布到外網，每個環節都有QA測試，但在緊急或意外情況下，程序員會臨時去外網修改產品，這么做非常危險，因為跳過了控制流程、跳過了發布員(跟產品開發不是一撥人)。

　　該人士表示，攜程是上市公司，應該有非常嚴格的控制，猜測是不小心把沒有過濾好的內網代碼目錄發布到外網了。如果是這種發布錯誤，問題并不嚴重，也就是版本控制不力——但如果是有員工跳過流程直接修改，就是特大問題，因為這意味著產品失去了對各環節和安全的控制點。

　　攜程稱目前無信用卡被盜刷情況

　　攜程今日回應，稱經查，這是攜程旅行網在技術調試過程中，出現了短時漏洞。消息發布后，攜程立即展開技術排查，并在兩小時內修復這個漏洞。據攜程排查，除漏洞發現人做了少量的測試下載并已全部刪除外，沒有出現惡意下載有關數據的情況，用戶在攜程的交易仍舊是安全的，用戶信息沒有受到影響。

　　事件發生后，攜程同各大銀行均取得聯系，經核實，目前也沒有出現用戶信用卡被盜刷的情況。攜程稱，未來，倘若發生安全漏洞并引起用戶損失，攜程將給予全額賠付。針對此事給用戶造成的困擾，攜程旅行網誠懇致歉。

　　昨日晚間攜程曾表示，可能受影響用戶為3月21日與3月22日的部分交易客戶，目前并沒有用戶收到該漏洞的影響而造成相應財產損失的情況發現。攜程將對于提供漏洞信息者給與重獎，對于此次漏洞事件如果有新的進展將持續通報。

　　銀行信用卡中心暫未收到攜程應對措施

　　騰訊科技致電各大銀行信號信用卡中心，都表示還沒有收到攜程官方公告通知具體情況和應對措施，招商銀行和民生銀行信用卡中心工作人員告訴騰訊科技，暫時不了解攜程信用卡信息泄露相關的具體信息，但是客戶如果擔心私密信息被泄露，會凍結舊卡寄送新的卡片。

　　專家建議：關閉信用卡網上支付功能

　　安全專家建議用戶，注意檢查信用卡帳單和消費短信，如果發現異常，及時聯系銀行，以減輕損失。如果已確定發現信用卡交易異常，懷疑信用卡信息泄露，可選擇關閉信用卡網上支付功能(對用戶影響很大)，或者聯系銀行注銷舊卡片，更換新卡。

　　據悉，攜程已建立安全應急響應中心，并設立了信息安全獎勵基金，獎勵為攜程找出漏洞的信息安全衛士。據騰訊科技了解，目前很多用戶依然很恐慌。