携程丑闻盗刷其实很容易百家号小白
2024/10/22 来源:不详北京中科白癜风医院地址 https://auto.qingdaonews.com/content/2018-06/19/content_20138493.htm
93名用户被携程通知更换信用卡之后,携程网络称该公司的支付是安全的。
然而就在携程表示用户持卡人的支付信息——如姓名、身份证、银行卡号、卡CVV码、6位银行卡BIN均按照国际信用卡支付安全标准要求经过加密处理,携程对所有用户的信息安全全权负责之时,经济观察网记者却在23日又经历了一次被第三人“盗刷”!
盗刷,成功!
3月23日,经济观察网记者借用别人的手机号拨打携程的电话,一位服务专员接待了记者。
记者表示,要订从上海去广州的票,这位专员用记者借来的手机号注册了携程会员,姓名是被订票的乘机人D的。
携程专员向记者问了乘机人D的姓名、身份证后,在携程专员的帮助下选好航班,准备定票。
在付款的时候,携程的服务专员将电话转至系统,在记者输入了一个招商银行的卡号后,电话转回服务专员,服务专员讯问了该信用卡的有效期。(注意:记者没有提供信用卡最后三位的数字!也没有提供信用卡主人姓名。)
服务专员表示:如果在30分钟之内支付成功,就可以了。因为银行要审核!
很快,一件可怕的事情出现了:记者本人的手机几分钟之内就收到了信用卡被“预授权”的信息。
元钱被“预授权”!
而被刷的信用卡并不是登机人的!且,记者所给出的招商银行信用卡实际上已经是一张年年底刚刚更换的新信用卡,此前在携程上的最后一次订票记录为年3月。这意味着,招商银行没有核实CVV码的情况下,审核通过了这笔交易。
是的,在整个过程中,携程的服务专员从未核实过打电话的记者的个人信息,没有核实过注册手机的机主是否为拨打电话订票的人,也没有核实过,打电话的人是不是乘机人。
这意味着:一、在携程上通过刷陌生人招商银行信用卡定机票,只要卡号和有效期两个信息;二、携程并未核实信用卡是否是乘机人本人的;三、携程并未采取任何措施向信用卡本人征询是否同意这笔交易。
23日晚,携程副总裁汤澜对记者此次购票过程中产生的问题解释是,有的银行需要6个信息才能刷卡,但是招商银行可能只需要两个信息就能扣款。具体流程他也不熟悉,需要等待重听购票时的录音。
24日,携程公共事务部闫鑫回复本报:“信用卡的MOTO支付通道(即信用卡远程收款系统MOTOpay全称MailOrderandTelephoneOrderpayment,主要为商家与消费者解决非面对面交易的支付问题),客人大多只需要提交完整卡号,有效期及校验码即可用于支付,此方式符合国际惯例并且是国际上通用的网络支付方式;国内电商如果是采用MOTO支付通道,都是按此方式。”
“部分信用卡发卡银行为了提高支付成功率及客人感受,仅需输入卡号及有效期即可支付,此并非源于携程的要求。”
记者用自己的手机拨打携程客服时,得到的答案是,只要能证明是携程这方面泄露信息所导致的用户损失,携程负责赔偿。
但问题在于,即便是携程泄露的信息导致了用户损失,用户也几乎没有能力举证证明这一点——现在能够获得用户信用卡信息的渠道实在太多了。
24日上午,记者拨通招商银行信用卡服务中心,服务专员称,此前只接到21、22两天内用户的危险排查,目前没有接到电话的可以放心使用。但当经济观察网记者将23日的订单情况如实反应给招商银行信用卡客户服务中心时,服务专员表示要将此事转到相应部门再查询才能回复。
而如果记者要想冻结(保护)信用卡的使用,是可以的。但是如果每年刷卡不足6次,则需要付年费;如果要注销这张信用卡,也需要交纳60元钱。
那么携程的安全是技术问题,还是流程问题?乌云上的曝光是“第一次”,还是“又一次”?
乌云密布
事情暴发于3月22日,著名的网站漏洞曝光平台“乌云网”上,网名“猪猪侠”登出了“携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)”以及“携程安全支付日志可遍历下载导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)”的两条信息。
尤其是后面的漏洞类型属于“敏感信息泄露”,危害等级为“高漏洞”。且“厂商已经确认”。
事情的过程是,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
事情的解决办法正如本文开头所描述的那样,当晚携程很快就在其官方微博上回应称公司相关部门已经在第一时间展开技术排查,并在消息发布两个小时内进行了漏洞弥补工作。
但是,人们