모바일 인터넷 "위대한 도약" 걱정: 누가 사용자의 안전에 대 한 지불

중간 거래 SEO 진단 Taobao 게스트 클라우드 호스트 기술 홀

Tencent 과학 및 기술 팬 Xiaodong 3 월 24 일 보고서

신용 카드 정보 누출, 또는 무선 시장에 돌진 하는 모든 회사에 대 한 모닝콜 Ctrip의 온라인 주말.

3 월 22 일, 플랫폼 클라우드 네트워크 Ctrip의 두 가지 보안 취약점, 취약점 발견 Ctrip 변명 디버깅 기능, Ctrip의 결과로 보안 결제 로그 수 임의의 서비스 지불을 사용자를 열려 있기 때문에 또한 읽을 수, 로그를 지속적으로 공개 보고 취약점 수 유출 될 카드 소유자 이름, ID 카드, 은행 카드 카테고리, 은행 카드 번호, CVV 코드 및 다른 정보입니다.

Ctrip의 이전 릴리스의 공식 설명 보안 위반 기술 개발자는 시스템 문제를 해결 하려면 임시 로그를 떠날 예정 이었습니다 과실 때문에 삭제 되지 했다 이었다.

사람들은 상황을 잘 알고, Ctrip의 보안 취약점은 web.config에 디렉터리를 열을 로그 저장 하지 웹 페이지에 허점 하지만 무선 부서 프로세스를 디버깅 하는 휴대 전화 애플 리 케이 션 제품에 의해 발생할 수 있습니다. 일단 디렉토리 traversal 마스터 공격자는 서버 루트 디렉토리의 파일 시스템의 다른 부분에 액세스, 제한 된 파일이 나 리소스에 액세스 하거나 더 위험한 행동을 초과할 수 있습니다.

Tencent 기술은 어제 Ctrip 공식 프레스로 하지만 해당 응답을 받지 않은 상담. 클라우드 네트워크 공동 설립자 지 그 문 드 말했다 Tencent 기술, 비록 공식적인 응답은 수리 하지만 허점은 여전히 기밀 유지 기간 (45 일)의 세부 사항을 공개의 내용은 그 당시 특정 상황을 볼 수 없을 때까지 기다립니다.

업계 분석 믿고 그 ctrip이 사용자 정보 공개 이벤트, 무선 연구 및 개발 결과 너무 빨리 위장 홍보 있을 수 있습니다. 작년이 양 후 Ctrip CEO Liang Jianzhang의 첫 번째 초점은 모바일 분야에 우선 순위를 주는 모든 최신 풍부한 관광 제품으로 모바일 인터넷에 더 많은 리소스를 이동 하는 "손가락 + 시멘트" 전략의 소개 이었다. Liang Jianzhang 무선 클라이언트 나타냅니다 모바일 인터넷 핵심 포인트 Ctrip 획기적인 것 말했다. Ctrip, 내 무선 사업 "2 개의 신생" 이라고 합니다.

모바일 인터넷 시대에 속도 비즈니스 관심사는 PC 시대에 비해 기업에서 효율성의 추구 그리 보안에 가까운 문제가 간과 되어 있습니다. 지 그 문 드 또한 Tencent 기술은 신흥 모바일 제품 개발 이전 구름에 보고 된 사례에서 개인 정보 보안 문제에 특별 한 주의를 지불할 필요는 말했다.

분쟁 중인 CVV 코드: 국제 안전 표준 준수는?

Ctrip 보안 허점의 초점은 여부 Ctrip 사용자의 신용 카드 CVV/CVC 코드 정보를 유지 합니다. 소위 CVV 보안 코드, 즉, 마지막 세 자리 숫자의 신용 카드 7 자리 기울임꼴 숫자의 뒷면에 서명 후 네트워크 및 전화 트랜잭션 보안 기능, 고도의 기밀 사용자 정보.

자동 집 설립자 Li Xiang 말했다, "거래 사이트 CVV, 동시에 홈 키를 비밀리에 작업 시간에 해당 그는 또한 모든에 대해 알고 가족 정보." 저장 사용자의 신용 카드, CVV 또한 누수, 전 하나는 엔터프라이즈의 기본적인 윤리 문제 이며 후자는 보안 문제. "

오프 라인 트랜잭션 모드에서 만큼 마스터 신용 카드 번호, 유효 기간, 카드 3-비트 CVV 보안 코드 다시 거래가 완료 될 수 있습니다, 그리고 전체 소비 과정 어떤 암호 인증을 통과 하는 필요 하지 않습니다.

익명 보안 전문가 Tencent 기술, 구름에 의해 제공 하는 정보에 따라 Ctrip CVC의 기록에 이전 금지 위반, 사고 위험을 근본적으로 해결 되지 않았다. 현재, 사용자만 자신의 은행 카드를 도난 되었습니다 보고 신용 카드 청구서를 확인할 수 있습니다.

PCI SSC 현재의 국제 지불 카드 업계 최고 수준의 보안 표준 인증, 하지만 회원 CVV 코드, 그렇지 않으면 그것은 무 겁 게 처벌 될 것입니다 저장을 명시적으로 금지.

이 유출 된 사용자 cvv 정보 사고에 대 한 Ctrip 공식 설명 여전히 두 의심 스러운 포인트를 했다.

우선, 왜 Ctrip 사용자의 CVV 정보, 위반을 유지 합니까? Ctrip 관계자, 사용자 권한 부여, Ctrip CVV 정보를 저장 하 고 공제 하지 성공적인 CVV 정보 개최 됩니다 최대 7 일 동안 목적은 사용자 비용을 줄이고 PCI DSS 규정에 따라 지불을 촉진 하기 위하여 사용자를 원조 하는 Ctrip 국제 신용 카드 결제 보안 표준 암호화 된 신용 카드 정보를 유지 합니다.

하지만 그것은 주목할 만한 Ctrip는 응용 프로그램에만 PCI 인증을 통과 하지 않았다, 우리 수-채널 PCI의 엄격한 구현 안에 ctrip를 통해 규칙. 7 일 기간에 대 한 하나의 지불 업계 말했다, 어떤 경우에, PCI는 CVV를 유지 수 없습니다, 이것은 한 번 것을 발견 한 철 법 처벌.

Mediav CTO Junin, Ctrip 있습니다 의도적으로 저장 하지 CVV 정보, 일반에 대 한 데이터 전송 그리고 디버깅 함수를 열을 오랜 시간에 대 한 라인에 시스템 로그에 결과 또한 명확 하다, 하지 않았다 청소 시간, 저장된 서버 또한에 보안 취약점, 다시는 잘못의 결과로.

둘째, Ctrip이 보안 취약점에 영향을 하는 얼마나 많은 사용자가 것입니다?

Ctrip 관계자는 3 월 21 일 그리고 3 월 22 일 주요 거래 고객의 주요 영향 93 잠재적인 사용자 카드 교체의 통지를 받았습니다, 카드 보안 나머지 Ctrip 사용자에 영향을 받지 않습니다.

클라우드 네트워크 공동 설립자 지 그 문 드 말했다 Tencent 기술, Ctrip 얼마나 결함 때 그리고 기간 공격 발생 사용자 구름의 손실에 의해 알 수 없습니다.

그러나, 잠재적인 위험에 대 한 우려, microblogs, 마이크로 크레딧 서클 등 소셜 네트워킹 플랫폼에 많은 사용자가 말했다 그들은 그들의 신용 카드를 대체 하는 은행에 신청 하는.

쉬운 검색 기술 유한 회사 CEO Maojing 공개 Weibo에 이르면 2 월 25 일, 그는 했다 전화 Ctrip의 바운드 Ctrip 여러 신용 카드 외화, 10 보다는 더 많은 도난 및 Ctrip 허점에 의해 발생 하는 의심.

Maojing Tencent 기술, 지난 달 그는 했다 Ctrip (약 10, 000 원 가치)와 함께 번들로 제공 했다 2 도난된 2 통화 신용 카드 말했지만 Ctrip 공식적으로 했다 지난 주말 일어난 사건의 피해자-그는 여전히 그는 허점의 피해자는 하지만 그것을 증명 하는 아무 방법도 없었다 생각 하 고.

"항상 브러시, 문제가 되었습니다 그리고 그래서 미래 Ctrip 사용자가 신용 하는 경우에 이벤트의 카드 도용 취약점 확인 하기 어려운 누수의 많은 있다." 지 그 문 드 말했다.

Tencent 기술은 주요 은행 신호 신용 카드 센터를 호출 하는 특정 상황의 공식 통지 받지와 대응 조치, 상인 은행, Minsheng 은행 신용 카드 센터 직원 말했다 Tencent 기술, 일시적으로 이해가 안 Ctrip 신용 카드와 관련 된 정보는 특정 정보, 하지만 고객 정보의 개인 정보를 유출 하는 경우 오래 된 카드를 동결 하 고 새로운 카드를 보낼 것입니다.

또한, 말했다 업계에 있는 사람들, 그들의 자신의 서비스를 달성 있도록 Ctrip "들어가자" 편리 하 고, 사용자 고객 서비스와 전화에 게 CVV2 코드 키 정보, 신용 카드의 유효성 또한 작은 위험 포함 되도록. 물론,이 상황은 Ctrip에 국한 되지 않습니다, 그리고 많은 편리한 지불 비슷한 위험.

련 기술 디렉터가 말했다 Tencent 기술, 지불, 주문 비즈니스 및 일반 인터넷 개인 사업, 어떤 순서 비즈니스의 유형을 지불 높은 위험 등의 두 가지 주요 유형이 있다.

인터넷 소비에서 사실, 다른 기업 것 이다 제한이 다른 소비자 행동에. 일반 인터넷 결제 사업 등 다양 한 사용자 인증을 요구 하는 인증 코드 텍스트 메시지를 보낼입니다, 사용자가 직접 입력 하는 페이지는 결제 완료 또는 완료 웹 생성된 동적 암호를 통해 필요가 있다.

하지만 Ctrip 등 같은 주문에 대 한 수요가 패자 최종 수혜자를 추적할 수 있기 때문에. 예를 들어 비행기 티켓, 기차 티켓 또는 예약 호텔을 구입 하는 사용자, 최종 사용에서 시간에는 여전히 보조 확인 방법으로 신분증 필요, 따라서 그것의 지불 링크만 필요 신용 카드 CVC 코드 등 정보는 거래를 완료할 수 있습니다.

보안 문제 남아 업계에서 일반적인 위험

최근 몇 년 동안, 다양 한 사용자 정보 유출 사건 계속 등장.

2012 CSDN 누출 사건, 광범위 한 반사 발생 했습니다, 그리고 즉, 사이트 사용 하지 말아야 일반 텍스트로 사용자 암호 정보, 베이징 당국은 CSDN 네트워크 회사 운영에 넣어 앞으로 특정 정류 요구 사항, 관리 경고 처벌 하 고 저장을.

지난 10 월, 검은 구름이 많은 호텔, 가정 및 상해 한정, 고객에 제 3-파티 스토리지 및 시스템 취약점에 의해 유출 됐다 보도 했다. 보고서에서 검은 구름이 호텔 고객 정보 온라인, 호텔 체크인-방문자 신분 카드, 체크 인 시간, 숙박 객실 번호와 다른 개인 정보의 완전 한 기록에 고객 정보를 성공적으로 다운로드를 다운로드 하는 과정을 노출.

모바일 인터넷의 증가 함께 사용자 id를 포함 하 여 은행 속성 및 기타 관련 데이터 및 인터넷 응용 프로그램 바인딩 더 밀접 하 게, 위험 및 위협을의 누설. 작업 및 소비, 사용자의 편의 개선 하거나 제품 개발의 과정을 속도를, 기업 종종 보안을 무시 합니다.

인터넷 회사 말했다 Tencent 기술, 응용 프로그램 또는 WAP 또는 웹 프런트 엔드 제품 양식만 책임 회사 데이터 원본 호출 되어야 합니다 하나만. 새로운 제품의 온라인 과정은 일반적으로 "개발 기계-인트라넷 테스트 기계--게시자 익스트라넷 게시", 모든 링크는 QA 테스트, 하지만 허 술 컨트롤 또는 속도의 추구, 프로그래머 일시적으로 제품을 수정 하는 엑스트라넷에 갈 것 이다, 이것은 매우 위험 하 고, 때문에 제어 프로세스, 게시자 생략 (건너뛰고 제품 개발은 다이얼 사람들 각 링크 및 보안에 대 한 제어 포인트를 잃게 됩니다.

"이제는 쉽게 모바일 결제의 위험에 주로 휴대 전화 바이러스는 입력된 데이터 또는 납치 하는 모바일 신호를 수신, 위험이 상대적으로 쉽게 제어, 가장 큰 그리고 가장 어려운 기업 포트의 위험을 제어 하는 데이터 보안 레벨의 레벨 데이터 보안 문제 금융 수준으로 유지할 수 있습니다 인터넷." "생각 하는 기업 기술 임원.