携程再曝重大漏洞:怎么又是信用卡
3 月份,乌云漏洞报告平台公布的最新漏洞称,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡 CVV 码、6 位卡 Bin)。乌云网称已将细节通知厂商并且等待厂商处理中。此外,携程还被曝携程某分站源代码包可直接下载。
在这件事情的余波尚未完全过去的时候,乌云再度曝光了携程网的漏洞,这次依然和信用卡有关。
按照乌云漏洞报告平台的说法,该漏洞为“携程安全支付存在安全隐患”,只需要信用卡日期和卡号就可进行消费,漏洞发现日期为 7 月 7 日。
从漏洞发现者的实际演示来看,只需在支付时填写一个合法的信用卡卡号,并填好有效期,携程即可扣款成功。如果真的是这样的话,那么用户的信用卡很可能会遭遇盗刷等问题。
随后漏洞的发现者联系了携程官方,但携程表示该漏洞为“误报”,官方选择忽略。
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-07-07 01:21
厂商回复:
您好:
经过与您的沟通与确认,此问题为误报。
在携程信用卡支付过程中,不同的银行和支付渠道会要求提交不同的支付信息,有的银行只需要卡号和有效期就可以完成支付,而不需要其他繁琐的验证,其支付风控措改由后端完成,表面上用户“简单”了,但是控制措施会从其他方面弥补,总体安全性并无减弱。
另外,使用伪卡或盗用其他人的卡片信息进行支付是违法行为,携程旅行网提醒用户妥善保管好自己的信用卡信息,以免影响用卡安全。携程旅行网已经通过了 PCI 认证,将与银行会对此类行为加强风控管控,携手银行一起为用户提供更安全与便捷的支付体验。
我们对此漏洞选择了忽略,携程旅行网非常重视各类安全问题,如有疑问请随时与我们联系,感谢支持与反馈!
漏洞概要
缺陷编号: WooYun-2014-67647
漏洞标题: 携程安全支付存在安全隐患(只需要信用卡日期和卡号就可进行消费)
相关厂商: 携程旅行网
漏洞作者: felixk3y
提交时间: 2014-07-07 00:18
公开时间: 2014-07-07 01:21
漏洞类型: 设计缺陷/逻辑错误
危害等级: 高
自评 Rank: 20
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org
漏洞详情
披露状态:
- 2014-07-07: 细节已通知厂商并且等待厂商处理中
- 2014-07-07: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
只需要信用卡有效期和卡号即可消费
详细说明:
#1 场景如下
XX:您好,请问我刚在网上预定***,为什么没输入密码,就把银行卡里的钱给扣了?
客服:(此处省略 1000 字),因为就是不用输入密码啊,(此处再次省略 1000000 字)..
-
话外音:!@#¥%……&**(……%%@(惊出了一身冷汗)@#$%^&*())..
-
最终结果是:客服说无法解释,再次惊呆了...
好吧既然你们对用户这么不负责任,那么我也就不客气了..
#2 支付过程
过程真的很简单,全是正常的流程..
step1 随便预定一个门票(或其他);
step2 正常填写,直到这里(真正的姓名,身份证可 Google 搜索一个),信用卡支付
选择信用卡,点击下一步提交,到了这里,如图
这里填写一个合法的信用卡卡号,正常提交..,几分钟后,奇迹出现了...
短信提示成功预定,扣款 XXXRMB,就这么简单的流程?是的就这么简单..
什么?居然不相信自己的眼睛?好吧打客服电话询问,确实成功预订!
漏洞证明:
#3 结束语
成功预定的短信我不想截图,我也不想多说其他什么
修复方案:
请给广大用户一个合理的解释...
版权声明:转载请注明来源 felixk3y@乌云
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值。