Ctrip 보안 취약점, 사용자 개인 정보 유출의 공포

소개: 현재, Ctrip 되지 않았습니다 계정의 사용자 측면, 돈을 손실 되지 않았습니다 하지만 클라우드 플랫폼 노출 보안 취약점 정보를 회사의 안전 신용, 기업 협력으로 인 한 더 큰 손상 될 수 있습니다. 비록 ctrip 수리 취약점 매우 신속 하 게 처리 하지만, 까다로운 스레드 및 Ctrip 브랜드 홍보 위기 기술적인 측면에서 하는 수 있습니다 의 브랜드 공격 동작의 구현 이기도 합니다.

2014 년 3 월 23 일에 클라우드 플랫폼의 지속적인 출시 측면 Ctrip 2 보안 취약점 발견의 취약점 했다 Ctrip 사용자 지불 서비스 프로그램에 디버깅 기능, Ctrip 보안 결제 로그에 어떤 단서도 임의의 수 변명 때문에 읽을 수 있는, 보안 지불 로그 카드 소유자 이름, 은행 카드 카테고리를 포함 하 여 정보를 공개할 수 있습니다 은행 카드 번호 ID,cvv 코드 , 및 에.

허점의 저자 Ctrip 카드 소유자 인터페이스를 확인 하는 은행에 모든 패킷을 로컬 서버에 직접 저장 됩니다 있도록 사용자 지불을 처리 하는 데 사용 하는 서비스 인터페이스의 디버깅 기능 켜져 있다 주장 하고있다. 동시에 결제 로그를 보유 하는 서버에는 엄격한 기준 보안 구성 이므로 어떤 해커에 의해 읽히고 결제 과정에서 모든 디버깅 정보에서 디렉터리 탐색 취약점.

보안 로그에 포함 된 정보를 포함: 카드 소유자 이름, 카드 ID 카드, 은행 카드 (신용 카드 가맹점 은행, 중국 은행 신용 카드), 은행 카드 번호, 은행 카드 CVV 코드와 은행 카드 (결제 6 자리)의 6 비트 빈의 유형.

이 취약점 수준 높은, 표시 취약점 플랫폼 클라우드 및 제조 업체, 공급 업체 처리에 대 한 현재 상태 대기 통보 했다.

다른 취약점에 동일한 시간 노출에서 그 Ctrip 소스 코드 패키지의 다운로드 될 수 있다 직접 (관련 데이터베이스 구성 및 지불 인터페이스 정보), 현재 취약점은 클라우드 플랫폼에 의해 확인 되었습니다. (Guxiaopo)

Ctrip 사용자가 계정 돈 손실 되지만 Ctrip의 기업 보안 신용에 대 한 보안 취약점 정보의 노출 아직 등장 하지, 기업 협력 손상이 큰 수 있습니다. 브랜드 홍보 위기 뒤 기술 허점 후 Ctrip 더 어렵습니다, 그리고 방지 하기 위해 첫 번째 점은 상대 브랜드 공격 동작을 구현할 수 있습니다.

NetEase 기술에 따라 Isconcurrently 및 Mastercard 국제 보고서 최근 공동 카드, 관광 양보, 전자 지갑 및 기타 프로그램 홍보 관광 소비 혁신 응용 프로그램의 분야에서 전자 지불을 통해 협력, 브랜드에서 확장, 협력, 지불 분야 양해 각 서 체결 했다. 기술 허점 수 있습니다 또한 그림자 사이 양측 협력을 통해.

누설 토요일에서 탈출, 그 Ctrip의 공유 가격 움직임 동부 시장 개방에 영향을 받을 것입니다 관심사 이기도 합니다.

확장된 읽기:

2011 년 12 월 25 일 뉴스, 오늘 저녁, "Tianya 40 백만 사용자 암호 유출" 뉴스, Tianya Tencent 기술 공식에 대 한 성명을 발표 하는 도난된 데이터 백업 데이터 전에 2009 년. Tianya implored Tianya 관련된 계정 비밀 번호를 최대한 빨리 수정 하는 사용자. 소위 40 백만 사용자가 해커 패키지 데이터 파일 이름을 정확 하 게 얼마나 많은 사용자가 암호 유출 되었다, 목표에 있다 Tencent 기술 담당 Tianya 마케팅 부서는 여전히 불투명 하다. 하지만 기술 직원 문의 Tianya에 따르면 유출 된 사용자가이 숫자 보다 큰 되지 않습니다.

현재는 Tianya 공안 기관도 관련된 단서 조사 공안 기관에 보도 했다.

지난 주, 12 월 22 일, 빠르면의 가장 큰 개발자 커뮤니티 CSDN 사용자 암호는 해커에 의해 훼손 되어있다. 이 이번에 유출 된 사용자 암호의 끝, 그것 또한 의미 한다 해커의 영향 확대 공격.