攜程再曝重大漏洞:怎么又是信用卡
3 月份,烏云漏洞報告平臺公布的最新漏洞稱,攜程安全支付日志可遍歷下載,導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡 CVV 碼、6 位卡 Bin)。烏云網稱已將細節通知廠商并且等待廠商處理中。此外,攜程還被曝攜程某分站源代碼包可直接下載。
在這件事情的余波尚未完全過去的時候,烏云再度曝光了攜程網的漏洞,這次依然和信用卡有關。
按照烏云漏洞報告平臺的說法,該漏洞為“攜程安全支付存在安全隱患”,只需要信用卡日期和卡號就可進行消費,漏洞發現日期為 7 月 7 日。
從漏洞發現者的實際演示來看,只需在支付時填寫一個合法的信用卡卡號,并填好有效期,攜程即可扣款成功。如果真的是這樣的話,那么用戶的信用卡很可能會遭遇盜刷等問題。
隨后漏洞的發現者聯系了攜程官方,但攜程表示該漏洞為“誤報”,官方選擇忽略。
漏洞回應
廠商回應:
危害等級:無影響廠商忽略
忽略時間:2014-07-07 01:21
廠商回復:
您好:
經過與您的溝通與確認,此問題為誤報。
在攜程信用卡支付過程中,不同的銀行和支付渠道會要求提交不同的支付信息,有的銀行只需要卡號和有效期就可以完成支付,而不需要其他繁瑣的驗證,其支付風控措改由后端完成,表面上用戶“簡單”了,但是控制措施會從其他方面彌補,總體安全性并無減弱。
另外,使用偽卡或盜用其他人的卡片信息進行支付是違法行為,攜程旅行網提醒用戶妥善保管好自己的信用卡信息,以免影響用卡安全。攜程旅行網已經通過了 PCI 認證,將與銀行會對此類行為加強風控管控,攜手銀行一起為用戶提供更安全與便捷的支付體驗。
我們對此漏洞選擇了忽略,攜程旅行網非常重視各類安全問題,如有疑問請隨時與我們聯系,感謝支持與反饋!
漏洞概要
缺陷編號: WooYun-2014-67647
漏洞標題: 攜程安全支付存在安全隱患(只需要信用卡日期和卡號就可進行消費)
相關廠商: 攜程旅行網
漏洞作者: felixk3y
提交時間: 2014-07-07 00:18
公開時間: 2014-07-07 01:21
漏洞類型: 設計缺陷/邏輯錯誤
危害等級: 高
自評 Rank: 20
漏洞狀態: 漏洞已經通知廠商但是廠商忽略漏洞
漏洞來源: http://www.wooyun.org
漏洞詳情
披露狀態:
- 2014-07-07: 細節已通知廠商并且等待廠商處理中
- 2014-07-07: 廠商已經主動忽略漏洞,細節向公眾公開
簡要描述:
只需要信用卡有效期和卡號即可消費
詳細說明:
#1 場景如下
XX:您好,請問我剛在網上預定***,為什么沒輸入密碼,就把銀行卡里的錢給扣了?
客服:(此處省略 1000 字),因為就是不用輸入密碼啊,(此處再次省略 1000000 字)..
-
話外音:!@#¥%……&**(……%%@(驚出了一身冷汗)@#$%^&*())..
-
最終結果是:客服說無法解釋,再次驚呆了...
好吧既然你們對用戶這么不負責任,那么我也就不客氣了..
#2 支付過程
過程真的很簡單,全是正常的流程..
step1 隨便預定一個門票(或其他);
step2 正常填寫,直到這里(真正的姓名,身份證可 Google 搜索一個),信用卡支付
選擇信用卡,點擊下一步提交,到了這里,如圖
這里填寫一個合法的信用卡卡號,正常提交..,幾分鐘后,奇跡出現了...
短信提示成功預定,扣款 XXXRMB,就這么簡單的流程?是的就這么簡單..
什么?居然不相信自己的眼睛?好吧打客服電話詢問,確實成功預訂!
漏洞證明:
#3 結束語
成功預定的短信我不想截圖,我也不想多說其他什么
修復方案:
請給廣大用戶一個合理的解釋...
版權聲明:轉載請注明來源 felixk3y@烏云
漏洞評價:
對本漏洞信息進行評價,以更好的反饋信息的價值,包括信息客觀性,內容是否完整以及是否具備學習價值。
<span id="shareA4" class="fl">
</span>