携程被曝支付日志漏洞用户信用卡信息泄露

www.ijjnews.com 新浪科技 2014-03-23 11:33

携程被曝支付日志漏洞用户信用卡信息泄露

乌云网站截图

新浪科技讯 3月22日晚间消息，

漏洞报告平台乌云网今日在其官网上公布了一条网络安全漏洞信息，指出

携程

安全支付日志可遍历下载，导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)，并称已将细节通知厂商并且等待厂商处理中。

漏洞详情描述：

由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。

同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

其中泄露的信息包括用户的：

持卡人姓名；

持卡人身份证；

所持银行卡类别(比如，

招商银行

信用卡、中国银行信用卡)；

所持银行卡卡号；

所持银行卡CVV码；

所持银行卡6位Bin(用于支付的6位数字)。

标签：信用卡|持卡人|服务器

稿源：　新浪科技　编辑：王华峰 [打印]　

分享到：

网友评论：

请您文明上网、理性发言并遵守相关规定。

发布

你至少需要输入 5 个字昵称：

<div class="msgList">
                        <div class="msgList-t">
                            评论（
                            <span>
                                {$T.cmt.length}
                            </span>
                            ）
                        </div>
                        <div class="msgList-Cont">
                            {#foreach $T.cmt as comm}
                            <div class="CLZ msgList-item">
                                <div class="item-level1 clearfix">
                                    <div class="msgUser-info-bottom">
                                        <div class="msgUserName">
                                            <span>
                                                {$T.comm.userType}
                                            </span>
                                        </div>
                                        <div class="msgUserCont wrap">
                                            {$P.repl($T.comment[$T.comm.cmtId])}
                                        </div>
                                        <div class="msgFunc">
                                            <div class="msgFuncR">
                                                <span class="zan" style="">
                                                    <a href="javascript:void(0);" onclick="add('{$T.comm.cmtId}')" id="dingA{$T.comm.cmtId}">
                                                        <span id="dingS{$T.comm.cmtId}">
                                                            赞(
                                                            <span id="ding{$T.comm.cmtId}" style="margin-left:0px;">
                                                                {$T.comm.ding}
                                                            </span>
                                                            )
                                                        </span>
                                                    </a>
                                                </span>
                                                <span class="huifu">
                                                    <a href="javascript:void(0);" onclick="replay('{$T.comm.cmtId}')">
                                                        评论({#if $T.followCMT[$T.comm.cmtId]==null}0{#else}{$T.followCMT[$T.comm.cmtId].length}{#/if})
                                                    </a>
                                                </span>
                                            </div>
                                            <span class="msgDate">
                                                <span>
                                                    {#if $T.commentDate[$T.comm.cmtId]==''}刚刚{#else}{$T.commentDate[$T.comm.cmtId]}前{#/if}
                                                </span>
                                            </span>
                                        </div>
                                    </div>
                                </div>
                                <div class="follow item-level2" id="follow{$T.comm$index+1}">
                                    {#if $T.followCMT[$T.comm.cmtId]!=null} {#foreach $T.followCMT[$T.comm.cmtId]
                                    as follow}
                                    <div class="item-level2-li" id="followDiv{$T.follow$index+1}">
                                        <div class="item-level2-name">
                                            
                                        </div>
                                        <div class="item-level2-Cont wrap">
                                            <span style="float:right;">
                                                {$T.followCMT[$T.comm.cmtId].length-$T.follow$index}楼
                                            </span>
                                            {$P.repl($T.comment[$T.follow.cmtId])}
                                        </div>
                                        <div class="msgFunc">
                                            <div class="msgDate">
                                                <span>
                                                    {#if $T.commentDate[$T.follow.cmtId]==''}刚刚{#else}{$T.commentDate[$T.follow.cmtId]}前{#/if}
                                                </span>
                                            </div>
                                        </div>
                                    </div>
                                    {#/for} {#/if}
                                </div>
                            </div>
                            <div id="replay{$T.comm.cmtId}" style="display:none;">
                            <form method="post"  id="form{$T.comm.cmtId}">
                                <div class="divTextArea">
                                    <textarea id="content{$T.comm.cmtId}" style="margin:10px 0 0 0;width:608px;" rows=5
                                    cols=80 class="textElArea" onkeyup="tip({$T.comm.cmtId})" ></textarea>
                                </div>
                                {#if $T.comm.topCmtId!=-1}
                                <input value="{$T.comm.topCmtId}" id="topCmtId{$T.comm.cmtId}" type="hidden" name="vo.topCmtId">
                                {#else}
                                <input value="{$T.comm.cmtId}" id="topCmtId{$T.comm.cmtId}" type="hidden" name="vo.topCmtId">
                                {#/if}
                                <input name="content" id="cmt{$T.comm.cmtId}" type="hidden">
                                <input name="vo.channelId" value="2004001000000000" id="channelId" type="hidden">
                                <input name="vo.newsId" value="010677906" id="newsId" type="hidden">
                                <input name="deCodeUserId"  id="deCodeUserId{$T.comm.cmtId}" type="hidden">
                                <input name="vo.title"  value="携程被曝支付日志漏洞 用户信用卡信息泄露" type="hidden">
                                <input name="vo.newsUrl"  type="hidden" value="http://news.ijjnews.com/system/2014/03/23/010677906.shtml">
                                <div class="func-Area">
                                    <div class="fuc-send1">
                                        <a onclick="addComment('{$T.comm.cmtId}',this)" class="sendBtn" href="javascript:void(0);">
                                            发布
                                        </a>
                                    </div>
                                </div>
                                <div class="kind">
                                    <div class="ficon_face {$T.comm.cmtId}">
                                    </div>
                                    <span class="kind-tips">
                                        你至少需要输入
                                        <span class="kind-tipsNum" id="tip{$T.comm.cmtId}">
                                            5
                                        </span>
                                        个字     昵称：  <input type="text" name="vo.userType"  id="userType{$T.comm.cmtId}"  class="text">      <span class="showCode" style="display:none;">请输入验证码：
                                        <img src="http://vote.ijjnews.com:9000/comment/kaptcha.jpg" class="kaptchaImage" style="cursor:pointer;" onclick="changeImg('http://vote.ijjnews.com:9000/comment/');" />
                   			  <input type="text"  id="imgText{$T.comm.cmtId}" name="imgCode" style="height:30px;" />
                                        </span>
                                    </span>
                                </div>
                                </form>
                            </div>
                            <script type="text/javascript">
                                var cot = 'content{$T.comm.cmtId}';
                                var opti = new Object();
                                opti.id = 'facebox';
                                opti.assign = cot;
                                opti.path = 'http://vote.ijjnews.com:9000/comment/js/QQFace/arclist/';
                                $('.{$T.comm.cmtId}').qqFace(opti); //表情存放的路径
                                
                            </script>
                            {#/for}
                        </div>
                        <a href="javascript:void(0);" onclick="seeMoreCMT('http://vote.ijjnews.com:9000/comment/');"
                        class="msgMore">
                            查看全部
                            <span id="commentAll">
                                {$T.allCmt}
                            </span>
                            条评论>>
                        </a>
                        <input name="vo.channelId" value="2004001000000000" id="channelIdOrign"
                        type="hidden">
                        <input name="vo.newsId" value="010677906" id="newsIdOrign" type="hidden">
                    </div>

晋江新闻网版权与免责声明：
(1)凡本网注明“来源：晋江新闻网或晋江经济报”的所有文字、图片和视频，版权均属晋江新闻网所有，任何媒体、网站或个人未经本网协议授权不得转载、摘编或利用其它方式使用上述作品。已经本网授权的媒体、网站，应在授权范围内使用，并注明“来源：晋江新闻网”。违反上述声明者，本网将追究其相关法律责任。
(2)凡本网注明“来源：×××（非晋江新闻网或晋江经济报）”的文/图等稿件均为转载稿，转载目的在于传递更多信息，繁荣发展互联网行业，并不意味着赞同其观点或证实其内容的真实性。如其他媒体、网站或个人从本网下载使用，必须保留本网注明的“来源”，并自负版权等法律责任。如擅自篡改为“来源：晋江新闻网”，本网将依法追究责任。如对稿件内容有疑议，请及时与我们联系。
(3)如因作品内容、版权和其它问题需要同本网联系的，请在两周内速来电或来函与本网联系。电话：0595-86170187。

携程被曝支付日志漏洞 用户信用卡信息泄露

携程被曝支付日志漏洞用户信用卡信息泄露