携程再曝重大漏洞:怎么又是信用卡

jopen 6年前

        3 月份,乌云漏洞报告平台公布的最新漏洞称,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡 CVV 码、6 位卡 Bin)。乌云网称已将细节通知厂商并且等待厂商处理中。此外,携程还被曝携程某分站源代码包可直接下载。

        在这件事情的余波尚未完全过去的时候,乌云再度曝光了携程网的漏洞,这次依然和信用卡有关。

        按照乌云漏洞报告平台的说法,该漏洞为“携程安全支付存在安全隐患”,只需要信用卡日期和卡号就可进行消费,漏洞发现日期为 7 月 7 日。

        从漏洞发现者的实际演示来看,只需在支付时填写一个合法的信用卡卡号,并填好有效期,携程即可扣款成功。如果真的是这样的话,那么用户的信用卡很可能会遭遇盗刷等问题。

        随后漏洞的发现者联系了携程官方,但携程表示该漏洞为“误报”,官方选择忽略。

        漏洞回应

        厂商回应:

        危害等级:无影响厂商忽略

        忽略时间:2014-07-07 01:21

        厂商回复:

您好:

经过与您的沟通与确认,此问题为误报。

在携程信用卡支付过程中,不同的银行和支付渠道会要求提交不同的支付信息,有的银行只需要卡号和有效期就可以完成支付,而不需要其他繁琐的验证,其支付风控措改由后端完成,表面上用户“简单”了,但是控制措施会从其他方面弥补,总体安全性并无减弱。

另外,使用伪卡或盗用其他人的卡片信息进行支付是违法行为,携程旅行网提醒用户妥善保管好自己的信用卡信息,以免影响用卡安全。携程旅行网已经通过了 PCI 认证,将与银行会对此类行为加强风控管控,携手银行一起为用户提供更安全与便捷的支付体验。

我们对此漏洞选择了忽略,携程旅行网非常重视各类安全问题,如有疑问请随时与我们联系,感谢支持与反馈!

        漏洞概要

缺陷编号: WooYun-2014-67647

漏洞标题: 携程安全支付存在安全隐患(只需要信用卡日期和卡号就可进行消费)

相关厂商: 携程旅行网

漏洞作者: felixk3y

提交时间: 2014-07-07 00:18

公开时间: 2014-07-07 01:21

漏洞类型: 设计缺陷/逻辑错误

危害等级: 高

自评 Rank: 20

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org

        漏洞详情

        披露状态:

  1. 2014-07-07: 细节已通知厂商并且等待厂商处理中
  2. 2014-07-07: 厂商已经主动忽略漏洞,细节向公众公开

        简要描述:

        只需要信用卡有效期和卡号即可消费

        详细说明:

        #1 场景如下

XX:您好,请问我刚在网上预定***,为什么没输入密码,就把银行卡里的钱给扣了?

客服:(此处省略 1000 字),因为就是不用输入密码啊,(此处再次省略 1000000 字)..

        -

话外音:!@#¥%……&**(……%%@(惊出了一身冷汗)@#$%^&*())..

        -

最终结果是:客服说无法解释,再次惊呆了...

好吧既然你们对用户这么不负责任,那么我也就不客气了..

        #2 支付过程

        过程真的很简单,全是正常的流程..

        step1 随便预定一个门票(或其他);

        step2 正常填写,直到这里(真正的姓名,身份证可 Google 搜索一个),信用卡支付

        选择信用卡,点击下一步提交,到了这里,如图

携程再曝重大漏洞:怎么又是信用卡

        这里填写一个合法的信用卡卡号,正常提交..,几分钟后,奇迹出现了...

        短信提示成功预定,扣款 XXXRMB,就这么简单的流程?是的就这么简单..

        什么?居然不相信自己的眼睛?好吧打客服电话询问,确实成功预订!

        漏洞证明:

        #3 结束语

        成功预定的短信我不想截图,我也不想多说其他什么

        修复方案:

        请给广大用户一个合理的解释...

        版权声明:转载请注明来源 felixk3y@乌云

        漏洞评价:

        对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值。

来自: 驱动之家