攜程被曝支付日志漏洞致用戶信用卡信息泄露

漏洞報告平臺烏云網今日在其官網上公布了一條網絡安全漏洞信息（鏈接），指出攜程安全支付日志可遍歷下載，導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀 行卡號、卡CVV碼、6位卡Bin)，并稱已將細節通知廠商并且等待廠商處理中。此外，攜程還被曝攜程某分站源代碼包可直接下載。

漏洞詳情描述：

由于攜程用于處理用戶支付的安全支付服務器接口存在調試功能，將用戶支付的記錄用文本保存了下來。同時因為保存支付日志的服務器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意駭客讀取。

所謂遍歷通常是指沿著某條搜索路線，依次對樹中每個結點均做一次且僅做一次訪問。這一被歸類為“敏感信息泄露”的漏洞，被指可能導致大量攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息外泄。

攜程旅行網回應：

載自: 新浪科技