【另一面】携程网暴露的不止是安全漏洞

标签: 携程网 安全漏洞 | 发表时间:2014-03-24 17:13 | 作者:
出处:http://news.163.com/

【另一面】携程网暴露的不止是安全漏洞

【另一面】携程网暴露的不止是安全漏洞

60 秒读懂专题:携程网暴露的不只是安全漏洞,还有谎言、不遵循行业数据安全标准、不实在的承诺、违背银联的规定。但尽管如此,携程网在中国无法被实质惩处。而相似案例中的索尼公司被英国官方罚款。

导语:3月22日晚,漏洞报告平台“乌云网”在其官网上公布了一条网络安全漏洞信息,指出携程网安全支付日志可遍历下载,能导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号、卡CVV码、卡6位Bin码。此次爆出的不止是携程网重大安全漏洞,还有其他缺陷。

携程网安全漏洞中所能泄露的信息,可以使窃取信息者不必有信用卡密码就能盗刷客户的信用卡

携程网安全漏洞中包含的用户信用卡CVV码即“信用卡检查码”,是由卡号、有效期和服务约束代码生成的3位或4位数字,一般写在卡片磁条2磁道用户自定义数据区里面。信用卡无需密码支付的方式也叫“脱机交易”,这种支付方式仅凭卡号、CVV码等信息即可完成。对于此支付方式而言,CVV安全码等同于密码。一般进入支付金额这一流程,用户被要求输入身份证号、持卡人姓名、信用卡卡号、信用卡卡背面上三位CVV安全码,交易就宣告成功,根本无需输入信用卡密码。所以,它的作用与风险可想而知。所以CVV安全码相当于信用卡“第二密码”,需妥善保管。

此次事件暴露携程网存储客户的支付卡信息,但2014 年1 月携程网回复中国广播网采访时自称不保留用户的支付信息

对此,携程网做了及时回应。但是,该漏洞事件显示,携程将用户的姓名、身份证、银行卡号、卡CVV码、卡6位Bin码做了存储。而2014年1月中国广播网经济之声《天下公司》栏目采访携程网时,携程网公关事务部工作人员的正式回复是“目前携程网的后台不会记录用户的支付信息,同时后台的安全性也得到银联和银行的评估”。携程网客服也确认了“付款的信息都是不做保留的”。相隔两月,事实证明了携程网之前的表态并不尽真实。

携程网自称已通过认证的PCI-DSS 标准明确规定了商户不允许存储CVV 码、Bin 码等顾客信用卡“敏感验证数据”,信用卡支付授权完成后这些数据必须马上安全删除

携程网支付页面自称支付环节通过了PCI认证,但PCI-DSS(支付卡行业数据安全标准)明确规定了商户不允许存储CVV码。通过PCI-DSS标准要求的商户要将其适用于自己将存储、处理或传输持卡人数据和/或敏感验证数据等帐户数据的业务中。而标准中的“敏感验证数据”就包括CVV码与Bin码数据块。针对收单机构而言,敏感的认证数据在支付授权完成后,是必须要安全删除的。授权之后,即使已加密,也不允许存储敏感验证数据。按PCI-DSS标准的中国方认证机构“atsec中国”商业IT安全实验室的经验而言,要通过PCI-DSS标准合规验证,首先要达到的目标就是“删除敏感认证数据并限制不必要位置和非业务必须的持卡人数据的存储”。

携程的赔付承诺要靠受害者自我举证被盗刷,并不可靠

携程网这次做出赔付的承诺并不可靠,因为信用卡用户几乎无法举证信息泄露与携程有关。即便现在携程客户的信用卡没有被盗刷,黑客还是可能把泄露出的信息保存起来静默一段时间再实行盗刷,而到时被盗刷的原因也很难判断。如果信用卡被用此种方式盗刷,维权也很困难,因为银行会认为是本人持卡在执行这些操作。以中国国内相似的网银盗窃案件为例,迄今为止,所有的用户存款被通过网上银行转走的盗窃案件中,用户起诉银行时,银行无一例外会指责用户未妥善保管密码而予以罪犯可乘之机,并自辩自己的信息安全系统可靠。作为个体的用户显然在举证证明银行的网银存在技术漏洞方面存在很大困难,因此,此类案件多以银行胜诉告终。而此次事件的信用卡用户若坚持向携程网索赔,情形不会更乐观。

携程网存储支付卡敏感账户信息违反《银联卡收单机构账户信息安全管理标准》与《银行卡收单业务管理办法》,但银联无法按此标准实质惩处携程网

2014年1月份,携程网称自己的“后台的安全性也得到银联和银行的评估”。而银联2008年出台的《银联卡收单机构账户信息安全管理标准》显示,银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素,并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。但中国银联只是家银行卡组织,尽管它实际上垄断了中国的信用卡相关业务,但其管理标准在正式意义上是既没有法律效力也没有行政约束力的,并且这个管理标准中连违反标准的罚则都没有。

此外,中国央行发布的《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。但第四十八条罚则规定,只有从事收单业务的支付机构,未按规定建立交易和信息安全管理等制度的,才会被罚款。而携程网是商户,并非第三方支付机构。

PSN 服务发生泄露用户数据事件后,索尼公司因未尽对客户信用卡与个人信息的有效保护义务,被英国官方处以40 万美元罚款

比较携程网在中国说谎、违规却可以摆脱惩处的情况,同样不注意保护用户信息的索尼公司在英国就倒霉多了。由于2011年4月PSN服务的大规模数据泄露事件,2013年7月索尼公司被英国数据保护监管部门罚款40万美元。英国信息专员办公室表示,这一事件严重违反了英国的数据保护法,因此对索尼处以40万美元罚款。当时PSN服务泄露的用户数据包括用户姓名、地址、电子邮件地址、生日和帐号密码等,用户的信用卡信息也面临泄露风险。对于此次罚款,英国信息专员办公室副专员、数据保护主管大卫·史密斯(David Smith)表示,索尼本应尽对客户信息提供有效保护的注意义务:“如果你掌握了如此多的支付卡和登录信息,那么确保用户数据的安全将是优先工作。然而在本案中情况并非如此。当数据库被攻击时,安全保护措施完全不够。”

Visa 公司规定其美国商户要使用不储存“信用卡敏感信息”的支付系统软件,旗下任何一家“一级商户”存储用户信用卡CVV 码与Bin 码等“敏感信息”的话每月将被处罚25000 美元

作为PCI-DSS标准的发起者之一,2007年11月起,Visa公司规定其美国商户及其代理商使用不储存“信用卡敏感信息”的支付系统软件。Visa公司规定,如果收单机构有任何一家“一级商户”(有600万次卡交易的贸易商和已经危及持卡人数据信息安全的贸易商)在2008年9月30日前仍未达到PCI-DSS标准的合规要求、继续存储用户信用卡CVV码与Bin码等“敏感信息”的话,那么,这家收单机构将被Visa公司处罚每月25,000美元的罚款。自从该措施实施以来,PCI-DSS标准达标率快速提升。迄今,超过99%的“一级商户”和“二级商户”(卡交易在100 万次到600 万次之间的贸易商)已经确认它们没有储存敏感数据。相较中国央行与银联而言,Visa公司为美国信用卡用户提供的安全保障机制显然更可靠。

[详细]

相关 [携程网 安全漏洞] 推荐:

【另一面】携程网暴露的不止是安全漏洞

- - 网易新闻·有态度专栏
【另一面】携程网暴露的不止是安全漏洞. 60 秒读懂专题:携程网暴露的不只是安全漏洞,还有谎言、不遵循行业数据安全标准、不实在的承诺、违背银联的规定. 但尽管如此,携程网在中国无法被实质惩处. 而相似案例中的索尼公司被英国官方罚款. 导语:3月22日晚,漏洞报告平台“乌云网”在其官网上公布了一条网络安全漏洞信息,指出携程网安全支付日志可遍历下载,能导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号、卡CVV码、卡6位Bin码.

Gmail发现安全漏洞

- Royce - Solidot
6月1日,Google官方博客宣布数百Gmail用户遭到黑客攻击,搜索巨人称帐户劫持不是Gmail本身的安全漏洞所致. 攻击者使用的钓鱼攻击,他们向特定帐户发送一封邮件,内有钓鱼网址链接,欺骗用户输入密码. 然而今天Gmail用户温云超发现Google的邮件服务确实存在安全问题,他演示了被钓鱼的过程(YouTube),他收到一封“李承鹏参选人大,邀请你参加”的邮件,文章呼吁支持者前往一个链接支持李承鹏.

APPScan安全漏洞扫描

- - 互联网 - ITeye博客
欢迎有需要的朋友们前来下载使用. 个人认为appscan扫描太慢,不如WVS扫描快,可配合使用. IBM AppScan安装破解教程. 1、在本站提供的百度网盘地址中下载这两个文件,AppScan_Std_9.0.3.6_Eval_Win.exe是安装主程序,LicenseProvider.dll为破解文件,双击AppScan_Std_9.0.3.6_Eval_Win.exe进行安装.

WebGL存在严重的安全漏洞

- CandyFrankie - Solidot
Panggit 写道 "HTML5中的WebGL技术已在Firefox和Chrome等浏览器中实现,并被默认开启,但这实际上给浏览器带来了极大的安全隐患. 问题根源在于,大多显卡以及显卡驱动在设计时并不考虑安全问题,而将相关安全问题交由操作系统完成. 但浏览器沙盒跳过了这一环节默认WebGL可以被安全执行,这会使脚本取得跨域名的执行权限,甚至取得访问本地文件的权限.

Tor修复部分安全漏洞

- Yan - Solidot
法国研究人员Eric Filiol声称发现了Tor匿名网络加密系统存在一个严重漏洞,能让攻击者发现网络中隐蔽的节点,甚至利用漏洞控制使用者的计算机. 漏洞与Tor加密实现有关,研究人员没有披露攻击细节. Tor项目基金会发表声明驳斥了 Filiol的部分说法,称他的数据是有缺陷,他的声明有夸大之嫌,同时指出研究人员没有与Tor分享研究数据.

Metasploit Framework 4.0发布,开源的安全漏洞检测工具

- Tairan Wang - ITeye资讯频道
Metasploit是一款开源的安全漏洞检测工具,由于是免费的,因此常被安全工作人员用来检测系统的安全性. Metasploit Framework (MSF)是2003 年以开放源代码方式发布、可自由获取的开发框架,这个环境为渗透测试、shellcode 编写和漏洞研究提供了一个可靠的平台. 这个框架主要是由Ruby编写的,并带有一些C语言和汇编语言组件.

部分 HTC 手機發現存在高危安全漏洞

- Eastar Lee - Android 資訊雜誌 android-hk.com
根據來自 Android Police 的報導,有安全研究人員在部分 HTC 手機上發現了一個高危安全漏洞,允許犯罪分子很輕易取得完整手機及個人資料. 而目前所知受影響的手機包括 EVO 4G、EVO 3D、Thunderbolt、EVO Shift 4G、MyTouch 4G Slid、Sensation 等,全都屬於硬體規格較高階的 HTC 機款.

Pod2g发现iPhone多年的安全漏洞

- - 快乐无极的博客
  Pod2g宣布已发现iOS中的一个安全漏洞,可以用来进行SMS短信造假. 这个漏洞从第一代iPhone就开始存在,直到iOS 6 beta 4还没有被修复.   短信在有效载荷过程中的一个环节叫做UDH,这个UDH是任意的,但是限定了许多先进的功能不跟所有的移动设备兼容. 其中有一个功能是让用户更改短信的回复地址.

因安全漏洞,微软建议用户禁用 Windows Gadgets

- - LiveSino - LiveSide 中文版
本周初微软发布了一则 安全公告,告知用户可能会因为“不安全”的 Windows Sidebar 和 Gadgets 恶意代码而受到攻击. Computerworld 称研究员将在本月底的 Black Hat 大会上公开这些安全漏洞. 微软暂时给出的解决方案是:禁用 Windows Sidebar 和 Gadgets 小工具功能.

JavaScript 常见安全漏洞及自动化检测技术

- - IBM developerWorks 中国 : 文档库
随着 Web2.0 的发展以及 Ajax 框架的普及,富客户端 Web 应用(Rich Internet Applications,RIA)日益增多,越来越多的逻辑已经开始从服务器端转移至客户端,这些逻辑通常都是使用 JavaScript 语言所编写. 但遗憾的是,目前开发人员普遍不太关注 JavaScript 代码的安全性.