2014年3月22日18:18，烏云(Woo Yun)漏洞平臺發(fā)布消息稱：“攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能，使部分向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器，有可能被黑客所讀取。”

烏云方面的報告稱，漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼(即卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)以及銀行卡6位Bin(用于支付的6位數(shù)字)，上述信息有可能被黑客所讀取。 

該報告全文如下:

針對此漏洞，當(dāng)天23:22分，攜程回復(fù)，攜程技術(shù)人員已經(jīng)確認(rèn)該漏洞，并經(jīng)攜程排查，僅漏洞發(fā)現(xiàn)人做了測試下載，內(nèi)容含有極少量加密卡號信息，共涉及93名存在潛在風(fēng)險的攜程用戶。攜程客服于今日(3月23日)通知相關(guān)用戶更換信用卡，銀行方面也會盡快協(xié)助用戶辦理換卡手續(xù)。

雖然攜程官方申請該事件沒有造成大面積的信息泄露，但我們不放從探討一下漏洞通過怎樣出現(xiàn)的呢?

當(dāng)我們在攜程網(wǎng)訂購買酒店、機(jī)票時，需要提供個人信息和支付信息，通過攜程的安全支付系統(tǒng)完成支付。攜程的這個安全支付系統(tǒng)設(shè)置了調(diào)試的功能，會在支付的同時將用戶的支付信息作為日志保存在服務(wù)器上。但問題出現(xiàn)在這里，攜程并沒有對這些日志進(jìn)行有加密，全部是容易辨識的明文。此外，存儲這些日志的服務(wù)器還存在“目錄遍歷漏洞”，這是一種被歸類為“敏感信息泄露”的漏洞。利用這個漏洞，黑客可以輕易的繞過服務(wù)器認(rèn)證，獲取日志服務(wù)器上的目錄信息，甚至可以通過構(gòu)造URL直接讀取日志服務(wù)器上的文件。黑客竊取用戶信用卡信息的過程可能包含以下幾個階段：

分析泄露出來的攜程源代碼，發(fā)現(xiàn)支付服務(wù)器上的用戶銀行卡信息日志沒有加密。

通過各種手段(社會工程學(xué)手段或黑客工具)獲取到支付服務(wù)器的IP地址，鎖定攻擊目標(biāo)。

利用黑客工具掃描日志服務(wù)器，發(fā)現(xiàn)其存在“目錄遍歷漏洞”;

通過“目錄遍歷漏洞”找到日志文件位置;

構(gòu)造URL讀取明文的日志信息。

不該存的存了，存儲了還沒有加密，沒有加密還不及時刪除，這是攜程網(wǎng)安全系統(tǒng)中犯的最大錯誤，事件曝光之后在社交媒體上引起軒然大波。使用過攜程服務(wù)的網(wǎng)友紛紛表示要更換信用卡，并吐槽說各大銀行的服務(wù)電話都被打爆了，等待超過20分鐘無人接聽。

科技讓我們更強(qiáng)大，也更脆弱。作為面向公眾服務(wù)的電商，應(yīng)更加注重網(wǎng)絡(luò)安全建設(shè)。