丝袜久久亚洲国产毛片,老人AV综合,国产精品日韩av,超碰国产综合,综合av在线草,毛片久久久,精品蜜桃一区三区,99久久久,人妻99在线视频

3月22日下午18:18分，烏云漏洞平臺發(fā)布消息稱，攜程系統(tǒng)存技術漏洞，可導致用戶個人信息、銀行卡信息等泄露。據(jù)烏云平臺稱，攜程將用于處理用戶支付的服務接口開啟了調試功能，使部分向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務器。烏云方面的報告稱，漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼(即卡號、有效期和服務約束代碼生成的3位或4位數(shù)字)以及銀行卡6位Bin(用于支付的6位數(shù)字)，上述信息有可能被黑客所讀取。

當天23:22分，攜程回復，攜程技術人員已經(jīng)確認該漏洞，并在兩小時內及時修復，對于烏云平臺發(fā)現(xiàn)的漏洞信息表示感謝。該漏洞受影響的用戶為近期的部份交易客戶，目前并沒有用戶受到該漏洞的影響而造成相應財產(chǎn)損失的情況發(fā)現(xiàn)。攜程旅行網(wǎng)始終對信息安全非常重視，對于此次漏洞事件如果有新的進展將持續(xù)通報。

據(jù)了解，烏云是一個位于廠商和安全研究者之間的安全問題反饋平臺，此前多次發(fā)布國內企業(yè)信息系統(tǒng)的技術漏洞，推動企業(yè)進行漏洞修復。

　　烏云漏洞平臺報告全文

缺陷編號：WooYun-2014-54302

漏洞標題： 攜程安全支付日志可遍歷下載導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)

相關廠商： 攜程旅行網(wǎng)

漏洞作者： 豬豬俠

提交時間：2014-03-22 18:18

漏洞類型： 敏感信息泄露危害

等級： 高

漏洞狀態(tài)： 廠商已經(jīng)確認

漏洞來源： http://www.wooyun.orgTags

漏洞詳情披露狀態(tài)：

2014-03-22：細節(jié)已通知廠商并且等待廠商處理中

2014-03-22：廠商已經(jīng)確認，細節(jié)僅向廠商公開

簡要描述：攜程將用于處理用戶支付的服務接口開啟了調試功能，使所有向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務器。

(類似IIS或Apache的訪問日志，記錄URL POST內容)。

同時因為保存支付日志的服務器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意駭客讀取。

其中泄露的信息包括用戶的：

持卡人姓名

持卡人身份證

所持銀行卡類別(比如，招商銀行信用卡、中國銀行信用卡)

所持銀行卡卡號

所持銀行卡CVV碼

所持銀行卡6位Bin(用于支付的6位數(shù)字)

漏洞hash：bf9165488f5e2ea3ca02ec6b310446b0版權聲明：轉載請注明來源豬豬俠@烏云

--------------------------------------------------------------------------------

漏洞回應廠商回應：危害等級：高

漏洞Rank：20

確認時間：2014-03-22 23:22

廠商回復：攜程技術人員已經(jīng)確認該漏洞，并在兩小時內及時修復，對于烏云平臺發(fā)現(xiàn)的漏洞信息表示感謝。該漏洞受影響的用戶為近期的部份交易客戶，目前并沒有用戶受到該漏洞的影響而造成相應財產(chǎn)損失的情況發(fā)現(xiàn)。攜程旅行網(wǎng)始終對信息安全非常重視，對于此次漏洞事件如果有新的進展將持續(xù)通報。

最新狀態(tài)：暫無

　　隱患早已埋下：攜程被疑儲存用戶信用卡信息

該漏洞的發(fā)布者豬豬俠在評論里貼出了一個稿子《攜程網(wǎng)被疑儲存用戶信用卡信息 存在泄露風險》，文章發(fā)表時間是 2014-01-10。

在這篇中國網(wǎng)財經(jīng)中心撰寫的文章里稱，攜程用戶反映，在攜程網(wǎng)購買產(chǎn)品時，只需進行簡單的信息核對即可完成交易。消費者張先生稱，自己持信用卡首次在攜程網(wǎng)消費時，需提供信用卡卡種、卡號、有效期、CVV2碼(即信用卡驗證碼)等一系列完整信息，然后提交支付。“然而當我第二次在攜程網(wǎng)使用這張信用卡時，只需提供卡號后四位及CVV2碼，攜程網(wǎng)就會完成這次支付操作。如果當初(攜程網(wǎng))沒有在系統(tǒng)中儲存信息，它又是如何完成支付的呢?”張先生表示，如此“便捷”的操作讓他對自己的信用卡安全倍感擔憂，“只要知道這張信用卡卡號和CVV2碼的人，就可以用它來消費，根本不需要任何動態(tài)或者其他形式的密碼，我的資金安全該由誰來保障呢?”

還有消費者稱，攜程網(wǎng)的人工客服會向用戶直接索要信用卡有效期、CVV2碼等敏感信息。中國網(wǎng)財經(jīng)中心記者以電話購買機票為由，撥通了攜程網(wǎng)客服電話，在支付環(huán)節(jié)，記者按語音要求輸入信用卡卡號后，客服人員口頭詢問記者該信用卡的有效期及CVV2碼，當記者提出上述敏感信息不方便透露時，客服人員表示“如不提供，就不能完成預定”，并強調攜程網(wǎng)不會儲存信用卡卡號信息。此外，記者在檢索相關信息時發(fā)現(xiàn)，不少消費者遭遇過信用卡被盜刷的事件，金額從2萬元至500萬元不等。

據(jù)業(yè)內人士介紹，信用卡信息主要包含卡號、有效期、CVV2碼等，其中打印在卡片簽名區(qū)的3位CVV2碼又被稱作“第二密碼”，掌握著該卡的交易授權，即只要提供正確的CVV2碼，就能完成支付環(huán)節(jié)。中國網(wǎng)財經(jīng)中心記者在中國銀聯(lián)風險管理委員會2008年發(fā)布的《銀聯(lián)卡收單機構賬戶信息安全管理標準》中看到如下表述：各收單機構系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。

攜程網(wǎng)華北區(qū)公關負責人在接受中國網(wǎng)財經(jīng)中心記者采訪時表示，攜程網(wǎng)采用的信用卡支付方式符合國際慣例，“在多年前我們已經(jīng)得到萬事達、VISA等卡組織的認證，由此可見，這些國際金融機構對攜程網(wǎng)的的風險控制能力和安全保密能力是持認可態(tài)度的，否則他們也不會授權給我們。”

當記者追問攜程網(wǎng)客服人員口頭索要信用卡有效期、CVV2碼等敏感信息，如何保障內部員工不泄露時，這名負責人稱此舉也系國際通用做法，“公司既然使用這種方式，肯定對風險有足夠的把控能力。”而對于記者提出的“攜程網(wǎng)是否違反銀聯(lián)規(guī)定，在后臺保存了用戶信用卡相關信息”時，對方未予明確回答。

該負責人強調，攜程網(wǎng)從未出現(xiàn)過信用卡盜刷案件，“因為我們主推的是旅游產(chǎn)品，預定時需要消費者提供身份證號碼等個人信息，因此一旦盜刷，也能很快查出(嫌疑人)。”但有消費者向記者反映，盜卡人常常在網(wǎng)絡論壇以售賣低價機票的方式，利用買家提供的身份證信息去完成消費，“即使警方查出機票實際使用人，人家也是被騙的受害者，如何追究責任呢?”

　　評論：攜程無論如何也不該存CVV碼

攜程支付信息泄露的報告一經(jīng)媒體發(fā)布，引發(fā)了眾多討論和關注：

IT評論員@炳叔說：感謝@烏云-漏洞報告平臺 啊，炳叔終于感受到了攜程五星級神速客服。(貧僧吐槽，攜程在手、說走就走、走的最快是密碼，1分鐘之內，@攜程客服就神回復了)公關比程序員水平高，點個贊吧。攜程典型撈過界，旅客只希望你幫忙解決#去哪兒睡哪兒# (本周末，銀行客服最辛苦了)攜程必須給人家補償，姑娘嘴唇口紅都說沒了。(豬一樣的隊友耍心眼，加班躺槍)

汽車之家創(chuàng)始人@李想第一時間在新浪微博上回應：如果是真的話，攜程的市值估計掉一半吧，做空攜程的爽了。沒有點基本的安全意識，就別偷偷存那些不該存的信息。攜程泄露了用戶的信用卡信息(我才知道攜程偷偷存了不該存的信息);優(yōu)酷付費會員(我才知道優(yōu)酷的客服只是頁面上的裝飾)體系也在今天成功崩潰。

@李想認為：存儲了用戶信用卡的CVV，還泄漏了。前一個是企業(yè)的基本道德問題，后一個是安全問題。有些信息可以存，有些信息無論如何也不能存，攜程存了無論如何也不該存的CVV，這相當于把你信用卡的密碼存儲并泄漏了。需要輸入CVV和存儲CVV是兩個概念。這時候還幫著攜程說話的，就是典型的被賣了還幫著數(shù)錢的。交易網(wǎng)站存CVV相當于小時工偷偷配了你家的鑰匙，同時，他還知道關于你家所有的信息。

新浪微博網(wǎng)友稱@豬_大哥: 攜程冒被賣空的風險為央行網(wǎng)購限額提供支持證據(jù)樣本!你是否對非銀行系統(tǒng)網(wǎng)上支付開始擔憂?4、你是否覺得攜程讓央行對網(wǎng)上支付、轉賬等的限制措施似乎變得有道理了有微博網(wǎng)友調侃@更俗：攜程對央行是真愛啊……

新浪微博網(wǎng)友@花總丟了金箍棒對攜程信用卡泄密進行了詳細的梳理，并解答了攜程用戶該不該換信用卡的疑問：

　　攜程到底怎么了?

“三人成虎”，這是今天晚上攜程事件我唯一的感受。最開始我第一反應是，攜程的信用卡數(shù)據(jù)被拖庫了，所有在攜程上的信用卡數(shù)據(jù)都面臨泄露的風險。很多朋友在微信群聊中相互提醒和詢問，“有沒有攜程信用卡”，“快點去注銷所有在攜程用過的信用卡”，“招行已經(jīng)開通攜程上相關信用卡注銷換卡的綠色通道”，等等消息此起彼伏。

遺憾的是，拋開技術bug問題，攜程在這場危機中表現(xiàn)的并不專業(yè)，給出的信息并不令人信服。遮遮掩掩的態(tài)度，反而讓更多的人群心里，坐實了“攜程上用過的信用卡都不安全了”的想法。

同樣遺憾的是，科技類媒體，在攜程信用卡門的事情上，就如同MH370事件中的表現(xiàn)。反而是財新網(wǎng)的報道，解釋了一些關鍵技術問題，并引用了MEDIA V CTO胡寧的微博分析，提供了相關的知識和分析。

在過去的幾天里，攜程的信用卡數(shù)據(jù)到底發(fā)生了什么?我在攜程上用過信用卡，是不是一定要換卡?攜程犯的錯誤是不可饒恕的么?這些最核心的問題，沒有人給予回答。

　　1. 攜程信用卡門，到底發(fā)生了什么?

烏云的描述，“該漏洞來自于處理用戶支付的服務接口開啟了調試功能，使所有向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務器。同時因為保存支付日志的服務器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意駭客讀取。”

烏云的描述非常技術，這也是導致大眾認為攜程信用卡數(shù)據(jù)全部泄露的重要原因。

請注意描述中，“所有支付過程中的調試信息可被任意駭客讀取”。換句話說，攜程的信用卡數(shù)據(jù)，并不存在所有歷史數(shù)據(jù)被拖庫的風險，只有正在支付的數(shù)據(jù)，才有被盜取的可能。

僅僅針對烏云曝出的風險，只有從這一漏洞產(chǎn)生時，直至3月22日晚上11點左右，攜程反饋已經(jīng)修復漏洞后，這一段時間在攜程支付過的信用卡存在風險。

從這里來毛估估一下，如果你有一年以上未使用過攜程，那么僅僅針對烏云漏洞，你應該是安全的。

個人從非孤立信源得到的消息是，這個安全漏洞產(chǎn)生，與近期開發(fā)調試有關。

這個近期到底有多近，我也不知道。攜程公布的信息是，對3月21、22日部分客戶有風險。

坦率的講，大多數(shù)人應該都不太相信的，哪里有那么巧的事情，22日發(fā)現(xiàn)的風險，就影響兩天。不過，我個人內部的信源告訴我，這個漏洞出現(xiàn)，初步看來在一周以內。至于為什么攜程公布21、22日兩天有風險，據(jù)說是對相關日志的分析結果。

結合來看，個人供參考意見，如果一周內未在攜程有過支付行為的話，僅僅針對烏云的漏洞，你的信用卡應該是安全的。(這只是根據(jù)我個人得到的消息分析。)

　　2.我需要立即更換信用卡么?

這是一個很難的回答的問題。

個人建議如果在一周內使用過攜程，特別是21、22日兩天的用戶，可以選擇換卡，并等待攜程進一步公開的信息。

超過一年以上未使用過攜程的用戶，沒有必要跟著起哄。

一年到一周之間的用戶，個人認為風險并不大，但是如果你一定一定非常糾結擔心害怕，那么暫時申請凍結好了。如果不凍結，那么可以選擇開通消費短信提醒等信息，幫助加強安全管理。

　　3.雖然我是可能面臨風險的用戶，但是我很懶，不想換信用卡可以么?

沒有什么不可以，只是可能面臨風險。管理上，面對風險的處理有三種方式，規(guī)避風險、降低風險和接受風險。不換信用卡，意味著你接受了風險。

如果你真的真的很懶，那么建議設置網(wǎng)銀單筆消費額度或者上限，開通短信或者微信提醒等方式以降低風險。

　　4.攜程的處理過程，有什么問題?

坦率的講，攜程的聲明并未給出風險提示，這是非常不明智的，并且攜程聲明給出的結果并不透明，讓人難以信服。讓我們來看看攜程的聲明：

“在得知該消息后，公司即展開了技術排查并在消息發(fā)布兩個小時內修復問題。攜程對烏云平臺發(fā)現(xiàn)漏洞信息表示感謝，并將對于提供漏洞信息者給予獎勵。對于此次漏洞事件，如有新進展，攜程將持續(xù)通報?？赡苁苡绊懙臑?月21日與3月22日的部分交易客戶，目前尚沒有發(fā)現(xiàn)因相關問題導致客戶信息泄露及造成損失的情況發(fā)生。公司將繼續(xù)進行網(wǎng)絡安全的核查工作，如果有用戶因該漏洞造成財產(chǎn)損失，攜程將賠償損失。”

　　(1) 攜程沒有透露這個漏洞是什么時候為什么產(chǎn)生的，那么攜程的21、22日就很容易被看成是一種掩飾。

　　(2) 攜程沒有提示用戶可能的風險，而說目前尚未發(fā)現(xiàn)造成損失，這有些玩弄文字游戲，推卸責任。

　　(3) 攜程說如果有用戶因為該漏洞造成損失，攜程將賠償。那么請問這個損失如何界定?用戶因為恐慌而換卡帶來的損失，算是這個漏洞造成的么?按攜程的字面意思，似乎不會賠償，但是用戶會接受么?

攜程，應該詳細的公布漏洞產(chǎn)生的原因，時間，并提示用戶可能的風險。同時詳細說明，為什么進過這些分析后，確定了這些用戶可能有風險，攜程建議用戶如何規(guī)避或者降低風險，發(fā)生后攜程能夠為這些用戶做些什么?如果攜程想要漂亮一點，應該承擔風險客戶換卡的成本，最不濟發(fā)個抵用券啥的。否則，用戶只會在猜疑中遠離攜程，如果不信，有誰能夠看到招行最近三天的換卡量，就可以知道了。

注：本文僅代表作者個人言論，不代表“互聯(lián)網(wǎng)一些事”觀點。