Ctrip 보안 취약점: 93 사용자 카드 큰 데이터 보안 마스크 그림자를 변경 하려면 배치

Ctrip 안전 균열: 사용자 신용 카드 확인 코드 누설에 대 한 걱정, 회사 93 잠재적인 사용자 통지를 받았습니다, 카드의 사용자 카드 보안의 나머지 부분에 영향을 받지 않습니다

3 월 22 일 18시 18분, 플랫폼 어두운 구름 (Wooyun) 노출 Ctrip 결제 로그 보안 취약점을 보고 하는 취약점. 전통적인 금융 및 인터넷 금융 간의 치열 한 경기와 동시에, 사건은 또한 네트워크 지불 보안 고문.

Ctrip 조 난으로 인 한 사용자의 문제에 사과를 발행 했다. 매일 경제 뉴스에 대 한 회신, Ctrip 말했다, "3 월 22 일 밤 삭제 하 고 메시지의 출시 2 시간 이내는 문제는 해결 되었습니다." 93 잠재적 위험 사용자 통지를 받았습니다, 카드 교체의 나머지 Ctrip 사용자 카드 보안에 영향을 받지 않습니다. 사건, Ctrip 및 주요 은행 연결 된 후 사용자 신용 카드 도난 브러시 없음이 확인 했습니다. Ctrip 엄숙한 약속, 미래에 경우 보안 허점과 원인 사용자 손실, Ctrip 줄 것 이다 완전 한 보상. "

그러나, 사건의 영향 가시고 하지 않았다. 은행 고객 서비스 반영 그 Ctrip의 발표 진정 효과가 거의 ICBC를 할 수 있습니다 고객 서비스 직원에 게 (3.34, 0.06, 1.83%) 기자 어제 (3 월 23 일) 많은 사람들이의 카드를 변경 하려면, "내가 받은 10 또는 이렇게."

"레코드 cvv" 규칙의 위반?

클라우드 보고서, 누출 정보 사용자의 카드 소지자의 이름, ID 번호, 은행 카드 카테고리, 은행 카드 번호, 은행 카드 CVV 코드 포함 됩니다 (예: 3 비트 또는 4 자리 번호 카드 번호, 만료 날짜 및 서비스 제약 조건 코드에 의해 생성 된), 및 은행 카드 6 비트 빈 (지불에 대 한 6 자리 숫자). 즉, 해커는이 경우의 정보 설정, 사용자 계정을 훔칠 수 있다. 밤에 사건, Ctrip이 "보안 허점"의 존재를 확인 했다.

재료의 어두운 구름에 대 한 응답, 질문 "Ctrip 기록 cvv에 이전 금지 위반." 설정 되어 기자에 따르면 이해, CVV는 은행 신용 카드 "카드 결제" 링크에서 3 비트 확인 코드 뒤에, 간단 하 게 제공 하는 카드 번호와이 3 비트 확인 코드 완료 지불 될 수 있습니다.

"는 신용 카드 CVV 코드는 로컬 플랫폼에 저장 되지 합니다 Ctrip 책임이 있다. 결제 과정에서 Ctrip 기록 은행 인터페이스 사용자 정보, 로그, 지불 보안의 위반에 전달 해야 합니다. "사랑, 기자는 청의 머리를 방문 하는 관광 업계의 베테랑이 믿습니다 Ctrip의 명성과 브랜드에 이벤트, 영향 발생 했습니다 특히 위한 Ctrip 오래 서비스 비즈니스 고객에 의존 하고있다."

민감한 개인 정보 보호 위반으로 사건 전달 및 microblogs 마이크로-문자 등 소셜 플랫폼에 통신을 많이 생성. 특히, 최근의 소문이 나라 인터넷의 개발을 제한할 것 이다 융자,이 사건이 "Alipay [Weibo]"에 대 한 좋은 소식이 아니다.

강국 컨설팅 CEO 웨이 Changren도는 "이이 사건 것 이다 확실히 영향을 미칠 Ctrip에 소비자의 신뢰." 분석 여행 하기 때문에 지금 기본적으로 모든 항공 티켓, 호텔, 리조트 및 기타 제품의 종류는 온라인 지불 해야 합니다. 이 이벤트는 확실히 홍보 Ctrip 사용자 정보 보안 문제에 더 많은 관심. "

보안 문제를 지불 질문 오타

"온라인 관광 산업 초기 항공 티켓에 있어야, 달성 하기 위해 호텔 지역 신용 카드 산업, Alipay의 라이센스 및 마이크로 편지 지불 하지 전에, Ctrip 온라인 관광 산업의 대표 예술 인기 되었습니다의 모드를 통해 온라인 지불 신용 카드는 아주 좋은입니다." 많은 하이 엔드 비즈니스 여행객 Ctrip와 미술 용에 그들의 편리한 신용 카드 결제 때문에 그들의 서비스를 사용 하는. 이벤트는 비즈니스 여행자 커뮤니티의이 부분에 큰 영향을 해야한다. "청 지적 한다.

"사실, 오타의 정보 보안은 매우 중요 한, 내 관찰에 상관 없이 Ctrip, 어디에 그물에가 서 미술 용, 그들은 매우 잘 하고있다 데이터 기밀," 온라인 여행 업계의 수석 파트너 말했다. "

"이제 Ctrip 노출 사용자 (개인) 누설, 뿐만 아니라 다른 전자-상거래 플랫폼 경고 역할을." Ota 신속 하 게 시험 한다, 유사한 사건이 다시, 발생을 피하기 위해 소비자 권리에 영향을 미치는. "웨이 Changren 말했다.

기자, 모바일 네트워크, 인터넷 부 관리 제품, 태블릿 컴퓨터, 스마트폰 및 기타 휴대용 단말기의 발전으로 최근 몇 년 동안, 새로운 모바일 결제의 인기는 되었다 낚시 소프트웨어, 해커 및 다른 탐 낼된 토지 배웠습니다. CNNIC 최신 데이터 표시 인터넷 사용자 수가 2013 년 20.106 백만 사람들의 수에 영향을 미치는 웹 서퍼의 총 수의 4%를 차지 하 고 인터넷에서 보안 문제 때문에. 42.9%의 그들, 개인 정보 누설 비율, 중 계정 암호 도난 23.8%의 비율.

끝 없는 새로운 트릭, 트로이 목마, 아무도 모습 심문 네트워크 보안 문제를 지불 하에 있지 않습니다. "혁신은 항상 위험을 동반, 관련 기관 동시에 그들의 자신의 보안 기술 사업을 개선 한다, 더 많은 홍보와 사용자 안전 의식 교육의 대중화를 원한다." 그 더 많은 국제 유명한 정보 보안 인증 기관 사용자의 개인 정보 보안을 보호 하기 위해 함께 희망. 감독 하 고 식품 안전 검사 같은 과정이.입니다. 장, 최고 지식 관리 전문가 라 마다 호텔 컨설팅 회사에서

93 사용자 카드 교체를 위해 준비 했다

3 월 23 일, 사용자 신용 카드 정보 유출 문제를 발생 하는 플랫폼 취약점에 대 한 발표, 발행 Ctrip 말했다 취약점은 수리만 93 Ctrip 사용자의 위험 카드 교체를 위해 준비 했다.

하지만 Ctrip의 발표 수 효과가 거의 은행 고객 서비스에서 정보. ICBC, 고객 서비스 직원이 매일 경제 뉴스 기자, 어제 많은 사람들이 카드를 변경 하려면 전화를, "내가 받은 10 또는 이렇게." 비용에 관해서는, 고객 서비스 직원은 카드 20 원 요금이 부과 됩니다, 즉시 처리 될 수 있습니다 말했다.

중국 상인 은행 (9.84, 0.38, 4.02%) 고객 서비스 직원 말했다, "이 카드 변경에 대 한 필요가 있다", 그리고 반복적으로 강조 은행 되었습니다 확인 위험, "당신이 할 변경 60 위안의 비용의 손실." "

은행 신용 카드 부서 관리자 Cui 말했다, 사실, 그것은 은행을 완전히 제거 하는 신용 카드 정보 유출에 대 한 어려운, "우리는 모니터링, 전용된 부가 하지만 스스로 은행 온라인 거래를 완료 하려면이 정보가 필요, 해커 차단의 가능성을 배제 하지 수 있기 때문에 완전히 제거 하는 방법이 없습니다." "

"현재 공개에서 있을 수 있습니다 몇 가지 결함, Ctrip에" 왕 유, 련 수석 위험 전문가 말했다. 우리는 적극적으로 추진 하고있다 엄격 하 게 관련 요구 사항 구현에 관련 기관, 받는 몸과 가맹점 수 유지 하지 카드 소유자의 기밀 정보, 뿐만 아니라 다양 한 정보 보안 관리의 거래 링크를 강화 하는 대책을. "

큰 데이터 보안 마스크 그림자

다른 사이트 Ctrip로 동일한 위험을 노출 하지는, 빅 데이터 시대에 인터넷 정보 보안 고문 되어 있다.

이전에 Dangdang [마이크로-보], [마이크로 블로그] 아마존 포함 Jingdong 몰 [마이크로-보], 호텔, 사이트의 수를 포함 하 여 사용자의 개인 정보를 버스트도 7 일 보고서, 개인 정보 및 신용 카드 정보 유출, Ctrip의 결함은 분명 더 심각한.

보안 전문가 해커 제 3 자 지불 계정 사용자의 휴대 전화 번호, 은행 카드 번호와 CVV 등록 사용할 수 있습니다, 따라서 사용자 및 송수화기를 바인딩할 은행 생략, 브러시, 절도에 운반 일러스트는 "이이 데이터 생성을 사용할 수 있습니다 또는 협회 제 3 자 지불, 국내 제 3 자 지불 회사 수백, 많은 포인트 사용할 수 있습니다." 피해자는 언제 든 지 강탈 될 수 있습니다. "

이 점에서 Ctrip 사람들이이 기술 디버깅 과정에서 짧은 시간 허점 Ctrip 여행 네트워크입니다 설명 했다. "취약점 이외 발견 적은 수의 다운로드를 테스트 하 고 삭제, 데이터의 악의적인 다운로드, Ctrip의 트랜잭션에서 사용자는 여전히 안전, 사용자 정보는 영향을 받지 않습니다." "

Mediavcto, 원래 Google 기술 감독 Junin 분석가지고 있습니다 Ctrip CVV 정보를 의도적으로 저장 하지 않았다 그러나 그것의 데이터 전송, 일반 한 선 디버깅 기능을 오픈 하는 데 시간이 오래 또한 명확 하다, 그리고 하지 않은 시스템 로그 결과 청소 시간, 저장된 서버 또한에 보안 취약점. 한 단계 잘못, 단계, "사용자 신용 카드 정보 유출, 너무 간단한 저수준 기술적인 오류를 하지." 민감한 정보를 암호화 저장, 디버깅 기능 필요가 신중 하 게, 시간, 서버 보안 기준을 충족을 정리 시스템 로그 온라인 이것은 상식 이다. "Junin 말했다.

그것은 보고 Ctrip 보안 비상 대응 센터를 설정 하 고는 정보 보안 인센티브 펀드, Ctrip 정보 보안 수비수의 취약점에 대 한 보상을 설정 했다. 그것은 또한 현재 붉은 인터넷 지불 및 대용량 데이터 보안 그림자 캐스트.