2014年3月22日18:18,乌云(Woo Yun)漏洞平台发布消息称:“携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取。”
乌云方面的报告称,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),上述信息有可能被黑客所读取。
该报告全文如下:
| 乌云漏洞平台报告全文 缺陷编号:WooYun-2014-54302 漏洞标题: 携程安全支付日志可遍历下载导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin) 相关厂商: 携程旅行网 漏洞作者: 猪猪侠 提交时间:2014-03-22 18:18 漏洞类型: 敏感信息泄露危害 等级: 高 漏洞状态: 厂商已经确认 漏洞来源: http://www.wooyun.orgTags 漏洞详情披露状态: 2014-03-22:细节已通知厂商并且等待厂商处理中 2014-03-22:厂商已经确认,细节仅向厂商公开 简要描述:携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。 (类似IIS或Apache的访问日志,记录URL POST内容)。 同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。 其中泄露的信息包括用户的: 持卡人姓名 持卡人身份证 所持银行卡类别(比如,招商银行信用卡、中国银行信用卡) 所持银行卡卡号 所持银行卡CVV码 所持银行卡6位Bin(用于支付的6位数字) 漏洞hash:bf9165488f5e2ea3ca02ec6b310446b0 |
针对此漏洞,当天23:22分,携程回复,携程技术人员已经确认该漏洞,并经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。携程客服于今日(3月23日)通知相关用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。
虽然携程官方申请该事件没有造成大面积的信息泄露,但我们不放从探讨一下漏洞通过怎样出现的呢?
当我们在携程网订购买酒店、机票时,需要提供个人信息和支付信息,通过携程的安全支付系统完成支付。携程的这个安全支付系统设置了调试的功能,会在支付的同时将用户的支付信息作为日志保存在服务器上。但问题出现在这里,携程并没有对这些日志进行有加密,全部是容易辨识的明文。此外,存储这些日志的服务器还存在“目录遍历漏洞”,这是一种被归类为“敏感信息泄露”的漏洞。利用这个漏洞,黑客可以轻易的绕过服务器认证,获取日志服务器上的目录信息,甚至可以通过构造URL直接读取日志服务器上的文件。黑客窃取用户信用卡信息的过程可能包含以下几个阶段:
分析泄露出来的携程源代码,发现支付服务器上的用户银行卡信息日志没有加密。
通过各种手段(社会工程学手段或黑客工具)获取到支付服务器的IP地址,锁定攻击目标。
利用黑客工具扫描日志服务器,发现其存在“目录遍历漏洞”;
通过“目录遍历漏洞”找到日志文件位置;
构造URL读取明文的日志信息。
不该存的存了,存储了还没有加密,没有加密还不及时删除,这是携程网安全系统中犯的最大错误,事件曝光之后在社交媒体上引起轩然大波。使用过携程服务的网友纷纷表示要更换信用卡,并吐槽说各大银行的服务电话都被打爆了,等待超过20分钟无人接听。
科技让我们更强大,也更脆弱。作为面向公众服务的电商,应更加注重网络安全建设。
