Ctrip 정보 큰 구멍 큰 데이터 보안 문을 열으십시오

"말했다 손에 Ctrip 멀리 이동 합니다." "겉보기 편안한 광고 언어 숨깁니다 신용 카드 누출의 위험," 고 말했다.

3 월 22 일, 국가 유명한 발권 서비스 회사의 저녁에 미국 나스닥 상장 Ctrip 여행 네트워크가 만났다 "어두운 구름." 따르면 국내 취약점 보고 플랫폼 클라우드 공개: Ctrip 여행 지불 네트워크 로그 허점, 사용자 은행 카드 정보는 해커에 의해 임의 읽기 수 있습니다. 한 번 개인 정보 보호에 대 한 대중의 민감한 신경 다시 한번 자극 되 고 있었다. 그리고 인터넷 큰 데이터 응용 프로그램의 정보 보안 문제는 또한 끝에 밀어넣기됩니다.

보안 전문가 해커 등록할 수 있는 사용자의 휴대 전화 번호, 은행 카드 번호, 신용 카드 검증 코드를 통해 제 3 자 지불 계정 따라서 건너뛰는 사용자와 은행 바인딩된 전화 하 고 브러시를 훔치는 설명 했습니다. "이이 데이터를 만들거나 수백, 국내 제 3 자 결제 기업에 제 3 자 지불 상관 사용할 수 있습니다 그리고 많은 포인트가 있습니다." 피해자는 자금의 도난에 취약 합니다. "

그것은 현재 Ctrip 보안 비상 대응 센터를 설립 하 고는 정보 보안 인센티브 펀드, Ctrip 정보 보안 경비에 허점을 찾을 수에 대 한 보상을 설정 했다 보고.

Ctrip 높은 위험 허점 또는 소비자 정보 공개

22 밤, 마이크로-보와 마이크로-편지 친구 원, 있는 많은 사용자가 "아니 Ctrip 신용 카드", "빨리 단념 하 Ctrip에 모든 신용 카드를 사용", "ICBC 열었습니다 Ctrip 관련 신용 카드 취소 카드 녹색 채널에" 그리고 다른 뉴스. 클라우드 플랫폼, 기술, 설명의 주요 원인이 될 생각 된다.

다크 클라우드 플랫폼 공개 정보 표시는 "Ctrip 보안 지불 서버 인터페이스는 함수 디버깅 사용자 지불 처리, 때문에 사용자 지불 기록을 저장 하는 텍스트와 함께 합니다." 동시에 결제 로그를 보유 하는 서버에는 엄격한 기준 보안 구성 때문에 디렉터리 탐색 취약점, 결과 어떤 해커에 의해 디버깅 정보를 읽을 수 있는 모든 결제 과정에 있다. 그것은 이것은 "중요 한 정보 공개," 높은 수준의 취약점, 은행 카드 번호, 카드 CVV 코드, 6 비트 카드 빈 및 기타 정보 유출 신분증 이름, Ctrip 사용자 카드 소유자의 많은 수를이 끌 주장으로 분류 보고.

Ctrip 발표 했다 3 월 21 일 그리고 3 월 22 일 거래 고객 들의 영향을 받을 수 있습니다 하지만 Ctrip 티켓과 호텔 소비자 보험 목적에 대 한 예약의 사용의 일환으로 왔다의 즉시 은행 카드의 손실을 보고 이나 암호를 수정 합니다.

많은 Ctrip 회원 신용 카드의 정보 훼손 되는 신용 카드에 연결 하거나 자체 신용 카드 거래의 위험이 걱정. 그리고 사용자 정보 유출은 일단 Ctrip 사용자에 대 한 아무런 의미 만들기에 충분 하지 않습니다.

의심 되는 위반의 정보 보안 관리 표준

"처음으로 신용 카드를 사용 하 여 지불, 당신은 신용 카드 종류, 카드 번호, CVV2 코드 (즉, 신용 카드 인증 코드), 시리즈의 완전 한 정보를 제공 하 고 다음 지불을 제출 해야 합니다. 그러나, Ctrip이 신용 카드를 사용 하는 경우 두 번째 시간 제공 카드 번호 4 자리와 CVV2 코드, Ctrip 지불 작업을 완료 한. "즉, Ctrip는 사용자의 신용 카드 관련 정보를 저장" 양 Zou, Ctrip 회원 말했다. 밖으로 유출 하는 경우 그것은 끔찍한 것입니다! "

2008 년에 발행 된 중국은 련 위험 관리 위원회에서 "UnionPay 카드 영수증 기관 계정 정보 보안 관리 표준" 기자 다음 식을 참조: 시스템 저장할 수 있습니다 거래의 영수증 거래 허가, 필요한 가장 기본적인 계정 정보에 대 한 처리 오류 은행 카드 트랙 정보, 카드 인증 코드를 저장 하지 해야 합니다에 대 한 개인 식별 코드와 카드 유효성입니다. 명확 하 게, Ctrip의 접근 방식은 명확 하 게 이러한 표준을 위반 하고있다

라는 이름을 거부 하는 보안 전문, Taobao, 같은 Jingdong 몰 CVV 정보를 기록 하지 것입니다, 사용자가 직접 은행에 전송 하는 은행 카드 데이터 매일 경제 뉴스 기자와 한 인터뷰에서 말했다. "Ctrip의 접근은 명확 하 게 불법, 잠재적인 위험, 여부는 누설," 고 말했다. 특히, Ctrip 공개 93 사용자가 영향을 받을 것 이며 그들의 은행 카드 정보 신용 카드 복제에 대 한 충분 한 복제. "

그는 제안 했다 경우 사용자 22 Ctrip, 특히 21을 사용 하 여 1 주일에 2 일 사용자의 카드를 바꾸고 Ctrip 추가 공공 정보에 대 한 대기를 선택할 수 있습니다. "사용자의 주에 년 개인적으로 생각 소비자 SMS 알림 및 기타 정보 보안 관리를 강화 하 여 선택할 수 있습니다 위험 하지 동결, 매우 작은 되지 않습니다." "

93 사용자 카드 변경 요청 통지를 받았습니다.

22의 저녁, 구름 인터넷 게시 메시지는 Ctrip 기술자 허점을 확인 했다 2 시간 그것을 수리. 이 점에서 Ctrip는 사용자의 취약점에 영향을 했다 최근 부분 거래 고객은 사용자는 취약점의 영향을 그리고 해당 속성으로 인 한 손실을 발견 Ctrip의 트랜잭션에서 사용자는 여전히 안전. 또한,이 허점으로 인 한 재산의 손실로 인해 사용자, Ctrip 보상을 지급 됩니다.

어제 오후, Ctrip 다시 이다 지불 정보의 93 사용자의 총 잠재적인 위험을 이러한 사용자가 신용 카드를 교체를 통지를 받았습니다. 그것은 결함이 시간 때 그들은 시스템 문제 해결 했다 임시 로그를 제거 하는 회사의 기술 개발자의 실패 때문 이었다고 설명 했다.  현재,이 정보를 모두 제거 되었습니다. 다음 Ctrip 즉 고객과 직원 어제 신용 카드를 변경 하려면 해당 사용자에 게 서비스는 은행 또한 카드 전송 절차를 처리 하는 사용자를 원조 할 것 이다 고 말했다. 23 현재로 22:00, Ctrip 고객 서비스 카드 알림 사용자를 받지 않는 경우 개인 정보는 안전.

Mediav의 CTO (최고 기술 책임자)는, 원래 Google 기술 감독 Junin 분석, 수 Ctrip 마음이 의도적으로 cvv 정보를 저장 하지 않았다. 그러나, "사용자 신용 카드 정보 공개가 아니다 낮은 수준의 기술 실수 간단." 민감한 정보를 암호화 저장, 디버깅 기능 필요가 신중 하 게, 시간, 서버 보안 기준을 충족을 정리 시스템 로그 온라인 이것은 상식 이다. "Junin 말했다.

다른 사이트 Ctrip로 같은 위기를 노출 하지는 빅 데이터 시대에 인터넷 정보 보안은 고문 되었고 급성장 네트워크 지불에 의해 유명해 진.

온라인 여행 업계는 동요

Ctrip의 "안전 문" 사건 공개 토론 발생 하지만 또한 성장 온라인 관광 (OTA) 인터넷 산업 가져왔다 큰 충격.

"온라인 관광 산업은 초기에 항공 티켓, 호텔 분야 Alipay에 마이크로 편지 지불 신용 카드 라이센스 산업을 달성 하는 하지 전에, Ctrip 온라인 관광 산업의 대표 예술 인기 되었습니다 더 인기를 신용 카드의 모드를 통해 온라인 지불 많은 하이 엔드 비즈니스 여행객 Ctrip 및 예술 용 편리한 신용 카드 결제 기능을가지고 있기 때문에 그들의 서비스를 사용 하는. 이 이벤트 의심할 여 지 없이 비즈니스 트래블러 그룹에 큰 영향을 미칠 것입니다. 청, 관광 산업에서 수석 애 널 리스트 고 말했다.

"Ctrip 노출도 다른 전자 플랫폼 경고 것입니다, 특히 OTA 급속 한 자성 해야을 피하기 위해 비슷한 사건이 다시 발생할 소비자 권리에 영향을 미치는." "웨이 Changren, 최고 경영자는 말했다.