Ctrip 누출 노출, 사용자 정보 유출 결과

3 월 22 일 18시 18분 54302, 번호는 취약점 보고서 피드백 플랫폼 클라우드 (wooyun.org)는 인터넷 보안 문제에 노출 됐다, 게시자는 검은 구름 코어 화이트 햇 해커 "돼지 남자". 보고서에서는 Ctrip에 결함이 은행 카드 정보 유출, 사용자의 많은 수로 이어질 것입니다이 정보 직접 브러쉬 훔치는 등 문제가 발생할 수 있습니다.

뉴스는 빠르게 확산의 다른 뉴스 "화 웨이 본사 서버에 의해 침략 미국 보안 국" 나중 노출 보다도 더 많은 주의와 미디어를 통해 또한 이전 노출 넘어 일부 겉보기 심각한 허점.

카드를 변경 하려면 사용자에 대 한 허점

허점에 무엇이 일어났는가? 소개에 따르면 Ctrip 사용자 지불 처리 하는 데 사용 하기 때문에 보안의 결제 서버 인터페이스 디버깅 기능, 사용자의 지불 레코드 텍스트와 함께 저장 됩니다. 동시에 결제 로그를 보유 하는 서버에는 엄격한 기준 보안 구성 이므로 어떤 해커에 의해 읽히고 결제 과정에서 모든 디버깅 정보를 디렉터리 탐색 취약점.

검색 경로, 하나는 트리의 각 노드에 대 한 하나의 방문 한 번에 통과 일반적으로 정의 됩니다. 이 "중요 한 정보 공개" 허점으로 분류, Ctrip 사용자 정보 노출의 많은 수를이 끌 주장 포함: 카드 소지자 이름 ID 카드, 은행 카드 번호, 은행 카드 CVV 코드, 6 비트 카드 빈, 등 매우 민감한 콘텐츠.

Ctrip 공식 설명: 기술 개발자 시스템 질문, 과실으로 인해 임시 로그를 떠나는 문제를 해결 하려면 시간에서 삭제 하지 않았다. 그러나, MEDIAV 회사 CTO Junin 또는 마이크로 블로그 비판 했다: "데이터 전송 취소, 한 라인에는 디버깅 기능을 오픈 하는 장시간 시스템 로그에 결과 또한 명확 하다, 그리고 하지 않았다 시간, 저장 된 서버와 보안 취약점 정리."

Sina 기술 Ctrip의 동료, Ctrip 무선 되었습니다 측면 매우 안전한 방법이 아니다,이 이렇게 비록 사용자 친화적인 작업, 하지만 특정 보안 위험이 있다. 그리고 Ctrip 내부 Sina 기술 했다 이것은 "사고" 안전 사고, Ctrip 사용자의 관련 정보를 저장 하기 위한 것이 아닙니다, 거기 아니다 같은 느낌 또한 내부 문제가 ctrip 이해할 수 있습니다.

사용자는 더욱 이해할 수 없습니다. 누설 유출 정보, 의미는 사용자의 은행 카드 정보 노출 위험,이 정보를 사용의 거의 모든 신용 카드 도난 케이크 한 조각이 될 수 있습니다.

가장 큰 위험은 Ctrip의 무선 측면에서 최근 거래는 사용자에서입니다. Ctrip의 존재와는 허점의 범위 제한을 공개 하지 않는 위험을 방지 하는 가장 좋은 방법은 교환 카드를 은행에 즉시 연락 하는 것입니다.

중국 상인 은행 신용 카드 고객 서비스 공개는 지난 몇 일, 많은 사용자가 되었습니다 Ctrip의 문제에 따라 자문 전화, 그들의 대부분 원래 신용 카드, 별도 조치를 막아 새로운 카드의 열기의 즉각적인 취소 하고있다. 중국 상인 은행 직원 신용 카드를 만들기 위해 2 일 걸리는 플러스 배달 기간 동안 신용 카드는 사용할 수 없습니다, 일주일 정도 걸릴 것 이다 고 말했다.

주요 문제: CVV와 PCI

CVV는 리스크 공시의 정보에 관심의 초점 이다.

CVV (카드 인증 값)은이 부분의 정보는 3 또는 4 자리 번호 번호, 만료, 그리고 서비스 제약 조건 코드는 CVC (카드 유효성 검사 코드), 또한 알려져 있다. 일반적으로 내부 2 트랙 사용자 정의 데이터 영역의 카드 마그네틱에 작성 됩니다. CVV 및 CVC 생성 방법, 하지만 그들은 다른 불린다.

이 정보는 거래를 조정 하는 데 사용 됩니다. CVV 온라인 트랜잭션 (슬쩍 카드)에 확인 하 고 실제로 카드를 안으로 들 여, 하는 과정에서이 정보 결정적인 효과가 있다. 그러나, 그것은 적 가치가 우리가 일반적으로 지불 하는 과정에서 지불 하지 않으면, 정보를 제공 하는 필요 실제로 CVV2, 즉, 카드 뒷면의 3 자리 옆 서명 파일 이라고.

중요 한 정보, 인터넷 지불 및 기타 비 슬쩍 거래에 CVV2 치료의 명확한 규칙이 있다.

"은행 카드 영수증 관리 표준" 중국은 련에 의해 발행에 따르면 시스템 트랜잭션 클리어런스, 카드 인증 코드, 개인 식별 번호 (PIN) 및 카드 유효 기간만 저장할 수 있습니다. 트랙 정보, 카드 인증 코드, 개인 식별 코드은 련 카드 거래의 완료에만 카드 유효 하, 다른 목적으로 사용할 수 없습니다 합니다.

온라인 지불의 공급자의 수 또한 시 나 관련 규정에 따라 실제 작업에서 기술 될 것입니다, 하 것 수 관련이 없습니다 불법 저장에 사용자 정보. CVV와 비교 하면, 또 다른 게 Ctrip 얼굴 영어 약어의 비난 PCI입니다.

PCI, 금융 업계에서 보통 말합니다 결제 카드 산업 데이터 보안 표준, PCI DSS (결제 카드 산업 표준)입니다. PCI의 목적은 직불 카드와 현금 카드 거래, 신용 카드의 보안을 최적화 하 고 다른 사람에 의해 악용 되 고에서 카드 소유자의 개인 정보를 보호 하기 위해.

이 누설 사건에 어떤 사람들은 고소 Ctrip 자격 PCI 기준을 충족 하 고 문제 원인을 과정 Ctrip에 기인. VERYCD 설립자 Daiyunjie 열려 있 심문 Ctrip: CVV2 속한 중요 한 데이터를 저장할 수 없습니다. PCI에 액세스할 자격된 Ctrip Sina 기술, 자격 응용 프로그램은 쉽지 않다, 그것은 년을 걸릴 것입니다.

Ctrip은 PCI 자격 있습니까? 공식적인 응답은: PCI DSS 규정에 맞춰 Ctrip의 접근. Ctrip 더 엄격 하 게 준수 합니다 PCI DSS 규정.

1 사용자와 93 전화

물론, PCI의 논의 긴급 한 문제 아니다, 그리고 또한 있다 PCI 자격에 대 한 액세스는 또한 사고 예. 일반 사용자에 대 한 핵심 질문은: 나는 안전 하지 않다?

세부 정보 유출의 부족 그래서 커뮤니티의 대규모 Ctrip 사용자. 공식 말입니다: "Ctrip로 사람을 발견 하는 취약점 테스트 다운로드, 콘텐츠 암호화 카드 정보, ctrip의 잠재적인 위험으로 총 93 명의의 아주 작은 수를 포함." Ctrip "그것의 안전, 걱정할 필요가 없습니다" 라고 전화를 받지 않고 개별적으로 23 일에 93 사용자를 게 알립니다.

93이이 규모, Ctrip에 비해만 수는 거의. Ctrip 플랫폼에 22, 시 나 기술의 사용자 거래 하고있다 그리고 Ctrip에서 전화를 받지 않았다. 그러나, 최근 ctrip 거래를 했다 하는 사람 것과 같이 그들의 개인 정보, 안전에 대 한 깊은 우려를 표명한 하 고 Ctrip의 신뢰를 최소화 키를 누릅니다.

사실, Ctrip 사용자의 연락처를 Sina 기술이 가장 카드 변경 처리가 하고있다.

좋은 소식은 지금,는 Ctrip 사용자는이 취약점으로 인해 손실 고통을 보여주는 공공 정보. 나쁜 소식은 그 Ctrip에 의해 유출 정보 발생 할 수 있습니다 손상 이전입니다.

광시 쉬운 검색 기술 CEO Maojing 케이스 이다. Ctrip 다이아몬드 카드 회원,이 2 월 25 일 아침의 설명에 따르면 그의 휴대 전화의 SMS 메시지, 미국 달러에에서 일부, 스털링에, 일부 유로 신용 카드 소비 수, 총이 공제의 합계 금액 20000 원 미만.

여러 라운드 후 조사, Maojing, Ctrip에 용의자만 그의 설명 및 Ctrip 계정 바인딩 3 신용 카드, 2 월 25 일 이상 외국 통화 도용, 10 그 날에 넣고 다른 3 개의 신용 카드는 평화로운. 그러나, Maojing의 쿼리, Ctrip 이것을 인정 하 게 어렵다는 것을 증명 하기 위해 다른 더 엄격한 증거.

"나는 플래티넘 고객 72-시간 지불,이 은행은의 경우 도난된 브러시 수 내 책임 아니다 내가 하지 않아도 플래티넘 보험 약속에 의해 지불", Sina 기술 Maojing와 통신에 말했다 Ctrip 은행에 대 한 핑계를 될 수 있습니다, 그는 문제가 될 많은 비 플래티넘 사용자 해야 합니다 그들의 자신의 손실 부담 우려.

은행 업계 인물 또한 시 나 기술, 모양을 훔치는 브러시 실제로 책임을 조사 하기 위해 매우 어려운 말했다.

대화 화이트 햇 해커 돼지

신용 카드 관련 허점을 자연스럽 게 산업 체인 해커에 연결 된 지 하 연상 시킨다.

해커와 해커 뒤에 유리한 비즈니스의 온라인 보고서는 수년간 널리 유통 되었습니다. 해커 관련 정보 도난 집에서 나왔다 또한 고 해외, 2011 년 12 월 중국의 최대 프로그래머 웹사이트 CSDN 보고 해킹 공격, 6 백만 이상의 사용자 정보 유출 되었다 하 고 지난해 12 월, 미국 제 3 가장 큰 소매 업체 대상 40 백만 고객 신용 카드 데이터 도난 했다.

Sunwear, 해커 원을 할 신용 카드 산업은 매우 성숙, 유럽 및 미국 및 대만 해커의 목표는, 많은 사이트 신용 카드 번호, CVV, 저장 시 나 Weibo에 잘 알려진 인터넷 정보 보안 전문가 날짜 및 기타 정보, 채널 너무 ctrip는 단지는 빙산의 일각, 많은 데이터의 암호화 또는 숨겨진, 하지만 그것은 필요 하지 않습니다.

그는 또한 네덜란드 서버 정보 화면에서 해커를 발표, "중동 항공사와 여러 대만 웹사이트에서 신용 카드 정보 중 하나, 7 백만 정도, 해커 반지 가격 유럽 카드에 따라 총 양의 조각 수백을 만들 수 있습니다, 그리고 이익을 원한다." 하지만 내가 봤을 때 데이터 그 해에 있었다, 그것은 오랜 시간 동안 씻 겨 했다.

하지만 모든 해커는 이러한 사업에 종사 하는. 해커는 그들의 자신의 기술을 사용 하 여이 방식으로 그들의 네트워크와 시스템의 성능을 테스트로 백색 모자 해커를 알려져 있습니다.

누설, 공개 코어 흰색 모자를 해커의 검은 구름 플랫폼, Weibo에 그의 ID는 영어 이름의 문자열 이며 그의 다섯 자리 QQ는 다른 3 자 중국 이름. 돼지는 인상적인 기록의 시리즈, 그는 기업의 허점 포함 발견: Ctrip, Tencent, Youku, NetEase, 그랜드... 구름에서 누수 수 125에 도달 했습니다.

교환, 돼지 말했다 시 나 과학 외부 압력의 일종을 느낄 것 하 고 기술 최근 싶지 않 았 어 너무 많은 코멘트 Ctrip의 문제를 해결 하는 이미 관련 부서는 문제에 관여. 또한, 그는 또한 Weibo에 말했다: "현재 보안 테스트를 완전히 삭제, 로그 정보에 관련 된 Ctrip 되었습니다 적시 복구 허점."

Ctrip 인센티브를 제공 하기 위해 주장, 돼지 그 심각 하지 않았다 고 말했다. 사실, Ctrip의 문제 정도 돼지의 기대에, 그 허점을 돈에 직접 연결 하기 때문에 그것은 수 있다는 결론을 내렸다.

"진짜 불입니다 이" 돼지 Sina 기술 링크를 했다:

그것은 3 월 21 일, 14시 10분 클라우드 플랫폼에 릴리스, 버그 보고 번호 54204. 보고서는 Tencent QQ 클라이언트는 기본 설치 공간 심각한 보안 결함, 해커 원격으로 어떤 친구 Clientkey, 다른 허점과 함께 얻을 수 있습니다, Tencent 단일 지점에 대 한 액세스 시스템 IP 제한 로그인 친구 QQ 비즈니스 시스템의 전체 라인을 건너뛸 수 있습니다 보여줍니다.

Qq가, QQ 앨범, QQ는 사서함, Tencent Weibo 공간과 등을 포함 하 여. 분명히 마감일을 중간에 숨겨진 개인 정보 보호의 더 큰 위험, Tencent 상담 시 나 기술 응답에 영향을 받지 않았습니다.