据网易科技报道,漏洞报告平台乌云网今日披露了携程网安全漏洞信息,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,支付过程中的调试信息可被任意黑客读取。安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。同时被曝光的另一漏洞显示,携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息),目前该漏洞也已被乌云平台确认。
晚间21时45分,携程做出官方回应。回应称,在该消息发布后,携程旅行网立即展开技术排查并在消息发布两个小时内修复问题。携程表示,可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有用户收到该漏洞的影响而造成相应财产损失的情况发现。携程将对于提供漏洞信息者给与重奖,对于此次漏洞事件如果有新的进展将持续通报。
此事在微博上也引发了广泛的关注。
实名信息认证为“前微软中国战略合作总监;福布斯中文网专栏作家”刘润的用户评论说:
微博认证为“MediaV CTO,原Google技术总监”的胡宁则连续发布微博批评携程的技术疏漏:
虽然携程用户目前还未出现账户金钱损失,但此次曝出的安全漏洞信息对携程的企业安全信用、企业合作的损伤可能更大。携程此次技术漏洞补上之后,随之而来的品牌公关危机更为棘手,目前首先要防范的是对手可能实施品牌攻击行为。
另据网易科技报道,携程刚与与万事达卡国际组织近日签署合作备忘录,拓展在品牌、支付领域的合作关系,通过联名卡、旅游优惠、电子钱包等计划,推动电子支付在旅游消费领域的创新应用。此次技术漏洞的发生,可能也会对双方的合作蒙上阴影。
鉴于此次漏洞爆发于周六,在美国东部时间股市开盘之际,携程的股价走势是否会受影响,也值得关注。
3月23日早上5时50分,携程方面向媒体通报的最新情况是:
据携程排查,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响。
事件发生后,携程同各大银行均取得联系,经核实,目前也没有出现用户信用卡被盗刷的情况。携程郑重承诺,未来,倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。
针对此事给用户造成的困扰,携程旅行网诚恳致歉。
23日下午两时许,携程方面声明:
23日下午两时许,携程方面声明:
3月22日晚至3月23日,携程已通知存在潜在风险的93名用户更换信用卡。经各银行反馈,截至目前,没有发生携程用户信用卡被盗刷的情况。