2014年3月22日18:18，烏云(Woo Yun)漏洞平臺(tái)發(fā)布消息稱：“攜程將用于處理用戶支付的服務(wù)接口開(kāi)啟了調(diào)試功能，使部分向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器，有可能被黑客所讀取。”

烏云方面的報(bào)告稱，漏洞泄露的信息包括用戶的姓名、身份證號(hào)碼、銀行卡類別、銀行卡卡號(hào)、銀行卡CVV碼(即卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)以及銀行卡6位Bin(用于支付的6位數(shù)字)，上述信息有可能被黑客所讀取。 

該報(bào)告全文如下:

針對(duì)此漏洞，當(dāng)天23:22分，攜程回復(fù)，攜程技術(shù)人員已經(jīng)確認(rèn)該漏洞，并經(jīng)攜程排查，僅漏洞發(fā)現(xiàn)人做了測(cè)試下載，內(nèi)容含有極少量加密卡號(hào)信息，共涉及93名存在潛在風(fēng)險(xiǎn)的攜程用戶。攜程客服于今日(3月23日)通知相關(guān)用戶更換信用卡，銀行方面也會(huì)盡快協(xié)助用戶辦理?yè)Q卡手續(xù)。

雖然攜程官方申請(qǐng)?jiān)撌录](méi)有造成大面積的信息泄露，但我們不放從探討一下漏洞通過(guò)怎樣出現(xiàn)的呢?

當(dāng)我們?cè)跀y程網(wǎng)訂購(gòu)買酒店、機(jī)票時(shí)，需要提供個(gè)人信息和支付信息，通過(guò)攜程的安全支付系統(tǒng)完成支付。攜程的這個(gè)安全支付系統(tǒng)設(shè)置了調(diào)試的功能，會(huì)在支付的同時(shí)將用戶的支付信息作為日志保存在服務(wù)器上。但問(wèn)題出現(xiàn)在這里，攜程并沒(méi)有對(duì)這些日志進(jìn)行有加密，全部是容易辨識(shí)的明文。此外，存儲(chǔ)這些日志的服務(wù)器還存在“目錄遍歷漏洞”，這是一種被歸類為“敏感信息泄露”的漏洞。利用這個(gè)漏洞，黑客可以輕易的繞過(guò)服務(wù)器認(rèn)證，獲取日志服務(wù)器上的目錄信息，甚至可以通過(guò)構(gòu)造URL直接讀取日志服務(wù)器上的文件。黑客竊取用戶信用卡信息的過(guò)程可能包含以下幾個(gè)階段：

分析泄露出來(lái)的攜程源代碼，發(fā)現(xiàn)支付服務(wù)器上的用戶銀行卡信息日志沒(méi)有加密。

通過(guò)各種手段(社會(huì)工程學(xué)手段或黑客工具)獲取到支付服務(wù)器的IP地址，鎖定攻擊目標(biāo)。

利用黑客工具掃描日志服務(wù)器，發(fā)現(xiàn)其存在“目錄遍歷漏洞”;

通過(guò)“目錄遍歷漏洞”找到日志文件位置;

構(gòu)造URL讀取明文的日志信息。

不該存的存了，存儲(chǔ)了還沒(méi)有加密，沒(méi)有加密還不及時(shí)刪除，這是攜程網(wǎng)安全系統(tǒng)中犯的最大錯(cuò)誤，事件曝光之后在社交媒體上引起軒然大波。使用過(guò)攜程服務(wù)的網(wǎng)友紛紛表示要更換信用卡，并吐槽說(shuō)各大銀行的服務(wù)電話都被打爆了，等待超過(guò)20分鐘無(wú)人接聽(tīng)。

科技讓我們更強(qiáng)大，也更脆弱。作為面向公眾服務(wù)的電商，應(yīng)更加注重網(wǎng)絡(luò)安全建設(shè)。