9CaKrnJEEQN china.huanqiu.comarticle携程用户银行卡支付信息泄露已修复 专家建议换卡/e3pmh1nnq/e3pmh1obd<article><section data-type="rtext"><p>央广网科技3月23日消息 昨日，乌云平台连续披露了两个携程网安全漏洞，乌云平台称，由于携程开启了用户支付服务借口的调试功能，导致携程安全支付日志可被任意还可读取，日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。上述银行卡信息或将被黑客读取或被人下载传播。携程确认该漏洞，并于当晚进行技术排查和修复。携程表示，如用户因此产生损失将赔偿。</p><p>携程确认了这一漏洞信息，称已在漏洞发布两小时内修复该问题，可能受影响的为3月21日与3月22日的部分交易客户，有知情人士称，如果一周内未使用过携程问题不大，此次漏洞影响范围并不大。携程称，目前尚未发现因相关问题导致客户信息泄露及造成损失的情况发生。并表示如有用户因为该漏洞造成财产损失，携程将赔偿损失。</p><p>记者致电携程相关负责人了解最新情况，电话一直无人接听。另外，此次支付信息泄露将为持卡人带来多大的风险，该如何应对？对此，银联方面表示，目前他们尚不清楚具体情况，无法答复相关问题。</p> <adv-loader __attr__inner="7004636" __attr__style="width: auto;position: relative;float: left;border: 1px solid #ebebeb; padding: 20px;overflow: hidden;margin: 10px 30px 40px 0;"></adv-loader> <p>一名资深网络安全人员表示，尚未造成财产损失并不意味着用户的账户及银行卡信息安全，建议用户拨打对应银行的客服电话申请停卡，或直接办理挂失。</p><p>有网友建议，使用银行卡在携程上进行过支付的消费者，应该立刻更换银行卡。</p><p>有分析认为，存储用户CVV是不合理的，此次漏洞问题将对携程的品牌有所影响。部分网友表示，将因此与携程“告别”。 用户近日需多加注意信用卡信息安全，尤其是最近在携程使用过银行卡支付的用户需提高警惕。同时提醒广大用户防范由于“携程支付日志泄露”可能引发的电信诈骗。</p><p>典型的诈骗信息形式包括：假冒银行或携程网向用户发送安全警告，以提醒用户更换银行卡、核实用户信息为由，套取用户敏感资料。此外，假冒航空公司假造航班变动信息，诱骗用户缴纳手续费等也是电信诈骗分子在此种情况下惯用的诈骗手段。</p><p>专家建议，面对已经曝光的安全漏洞不要慌张、保持冷静。首先马上核查是否有在相关网站的信用卡支付经历;如果确认，要第一时间与发卡银行取得联系，对账户做冻结等处理措施。同时，提高电信诈骗防范意识，不要轻信来历不明的与“携程网支付漏洞”相关的电话或短信，及时向相关机构核查信息真实性，不要轻易泄露个人敏感信息和汇款。</p><p><em data-scene="strong">漏洞详情描述：</em></p><p>由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。</p><p>同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。</p><p>其中泄露的信息包括用户的：</p><p>持卡人姓名</p><p>持卡人身份证</p><p>所持银行卡类别(比如，招商银行信用卡、中国银行信用卡)</p><p>所持银行卡卡号</p><p>所持银行卡CVV码</p><p>所持银行卡6位Pin(用于支付的6位数字)</p><p>根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。携程日志中存储的信息显然已超过该标准的允许范围。</p></section></article>1395543900000责编：gepeng<a href="http://tech.cnr.cn/techhlw/201403/t20140323_515137869.shtml" >中国广播网</a>139554390000011[]{"email":"script_silent@huanqiu.com","name":"沉默者"}