联系我们
  • 联系人: 侯女士?

    电 话: 025-58630787?

    邮 箱: [email protected]?

    手 机: 18052008777

    公司地址:南京市雨花台区雨花大道2号邦宁科技园1-4层


携程用户资料遭泄露 事件性催化或引爆信息安全板块
2013-12-5
来源:http://www.cnitsec.com.cn/
点击数: 2097          作者:江苏天网
  •  3月22日晚间,漏洞报告平台乌云网在其官网上公布了一条重大网络安全漏洞信息,指出携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露。


    作为国内在线旅游市场份额******服务商,携程日均酒店预订、票务预订等业务量以十万计,消息一经爆出,引发社会各界密切关注。很多携程用户赶紧到银行解除绑定信用卡。携程******回应称,乌云所曝信息系此前技术人员未删的临时日志,已在两小时内修复,并已通知93名潜在风险用户更换信用卡并适当补偿,尚未发现携程用户信用卡被盗刷情况。


    据悉,事件根本原因是携程违反银联规定本地保存银行卡信息:携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。而根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》中命令禁止本地保存银行卡信息:“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”


    除此之外,携程服务器安全配置不严格:携程用于保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问,遍历漏洞可导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。


    分析师表示,漏洞早已暴露,忽视信息安全必然付出惨重代价:携程的信息安全漏洞早在2009年之前就已经多次被用户质疑,但均未引起公司足够重视。2014年1月携程再次被中国网等媒体指出储存信用卡敏感信息存在泄露风险,携程网回应采用的信用卡支付方式符合国际惯例,对自身的信息安全问题再次选择忽视。信息安全无小事,忽视其重要性终酿成严重恶果。

    信息安全事件频发,行业增速将显著加快:“棱镜门”事件后,国内连续发生了如家等快捷酒店开房记录泄露、中国人寿[1.34% 资金 研报]80万保单信息泄露,搜狗手机输入法漏洞导致大量用户信息泄露等恶性信息安全事件,315晚会上央视也曝光了二维码等网银支付的安全漏洞。就在昨天,多家境外媒更是曝光了一条令人震惊的消息:美国国家安全局早在三年前就已经通过"后门“程序入侵了华为总部服务器!一系列严重的信息安全事件使政府、企业等各方充分意识到抓紧信息安全建设的重要性和紧迫性,行业增速将显著加快。


    安信证券认为,事件性催化或将引爆信息安全板块。一系列恶性信息安全事件必将促使信息安全地位进一步强化,板块将得到市场高度关注,重点关注卫士通[3.14% 资金 研报]、启明星辰[0.29% 资金 研报]、绿盟软件、北信源[-2.80% 资金 研报]等。


    泄露事件将刺激金融卡换卡及升级需求,卡商受益:用户大量银行卡信息泄露或将导致资金损失,规避该风险最合理也最有效的方法就是更换银行卡,多家银行已经表示将免费换卡。此外,未来对银行卡安全性的要求提高则将加速金融IC卡的替代进程。双重需求叠加,卡商显著受益,重点关注恒宝股份[0.12% 资金 研报]、天喻信息[-2.06% 资金 研报]、东信和平[0.41% 资金 研报]等。

版权所有 Copyright(C)2009-2013 江苏天网计算机技术有限公司 苏ICP备16029720号

玄机二句是2019