攜程漏洞曝光之後:對話當事白帽駭客
來源:互聯網
上載者:User
關鍵字
駭客
攜程
攜程漏洞曝光之後:對話當事白帽駭客上個週末不太平。 3月22日,18點18分。 一個編號為54302的漏洞報告,被曝光在互聯網安全問題回饋平臺烏雲(wooyun.org)之上,發行者是烏雲的核心白帽子駭客豬豬俠。 這份報告表明,攜程的一個漏洞會導致大量使用者銀行卡資訊洩露,而這些資訊可能直接引發盜刷等問題。 這一消息很快通過媒體廣為流傳,關注度甚至超過稍後曝出的另一條新聞《華為總部伺服器遭美國安局入侵》,也超出此前曝光一些看似也很嚴重的漏洞。 一個讓使用者換卡的漏洞這個漏洞是怎麼回事兒? 據介紹,由於攜程用於處理使用者支付的安全支付伺服器介面存在調試功能,將使用者的支付記錄用文本保存了下來。 同時因為保存支付日誌的伺服器未做校嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試資訊可被任意駭客讀取。 所謂遍歷通常是指沿著某條搜索路線,依次對樹中每個結點均做一次且僅做一次訪問。 這一被歸類為敏感資訊洩露的漏洞,被指可能導致大量攜程使用者的資訊曝光,包括:持卡人姓名身份證、銀行卡號、銀行卡CVV碼、6位卡Bin等非常敏感的內容。 攜程官方的解釋為:技術開發人員為了排查系統疑問,留下了臨時日誌,因疏忽未及時刪除。 不過MediaV公司CTO胡甯還是通過微博批評稱:資料傳輸為明文,且線上竟長時間打開調試功能,導致系統日誌中亦為明文,又未及時清理,所存儲的伺服器還有安全性漏洞。 有攜程的同行對新浪科技表示,攜程在無線端有過不是非常安全的做法,這種方式雖然便於使用者操作,但存在一定的安全風險。 而攜程內部人士對新浪科技表示,這是一次意外的安全事故,攜程並非有意保存使用者的相關資訊,出現這樣的問題攜程內部也覺得不可理解。 使用者們更是不可理解。 這次漏洞外泄的資訊,意味著使用者銀行卡的幾乎全部資訊都存在曝光風險,有了這些資訊,信用卡被盜刷可能變成一件易如反掌的事情。 面臨最大風險的,是來自于近期曾經通過攜程無線端有過交易行為的使用者。 攜程並沒有公佈漏洞存在的時間和範圍,所以規避風險的最佳辦法,就是立即聯繫銀行換卡。 據招商銀行信用卡客服透露,這幾天有很多使用者已就攜程漏洞問題致電諮詢,其中大部分已經採取立即登出原有信用卡、另行開通新卡的避險措施。 招商銀行工作人員介紹說,重新製作信用卡需要兩天時間,加上遞送大約需要一周時間,這期間信用卡無法使用。 關鍵事項:CVV與PCI面臨洩露風險的資訊中,CVV更是成為關注的焦點。 CVV(Card Verification Value)也被稱作CVC(Card Validation Code),資料顯示,這部分資訊是由卡號、有效期和服務約束代碼生成的3位或4位數位,一般寫在卡片磁條的2磁軌使用者自訂資料區裡面。 CVV和CVC的生成方法是一樣的,只是叫法不一樣而已。 這個資訊被用來在交易時進行核對。 CVV在連線交易(刷卡)的時候核對,而在不實際刷卡的交易過程中,這個資訊更是有著決定性的作用。 不過值得詳細說明的是,我們通常在不刷卡的支付過程中,需要提供的資訊其實叫做CVV2,也就是卡片背面簽名檔旁邊的三位數。 作為敏感資訊,CVV2在互聯網支付等不刷卡的交易中,有著明確的處理規定。 根據中國銀聯發佈的《銀行卡收單機構帳戶管理標準》,各收單機構系統只能存儲用於交易清分、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。 磁軌資訊、卡片驗證碼、個人標識代碼、卡片有效期只用于完成銀聯卡交易,不能用於除此之外的任何其他用途。 多家提供線上支付的服務商也對新浪科技表示,在實際操作中會根據相關規定,不會對使用者的相關資訊違規存儲。 與CVV相比,另一個讓攜程面臨指責的英文縮寫是PCI。 PCI,在金融業內通常代指支付卡行業資料安全標準,即PCI-DSS(Payment Card Industry Data Security Standard)。 制定PCI目的是為了優化信用卡,轉帳卡和現金卡交易的安全,保護持卡人的個人資訊,已防被他人利用。