【旅游圈】（編輯 Menawei）21日下午，著名的烏云漏洞平臺發(fā)布攜程旅行網(wǎng)的安全漏洞報告，報告稱：“攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能，使所有向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。(類似IIS或Apache的訪問日志，記錄URL POST內(nèi)容)。同時因為保存支付日志的服務(wù)器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取。其中泄露的信息包括用戶的持卡人姓名、身份證、所持銀行卡類別（比如，招商銀行信用卡、中國銀行信用卡）、所持銀行卡卡號、所持銀行卡CVV碼、所持銀行卡6位Bin(用于支付的6位數(shù)字)等信息?！?/p>

旅游圈（www.dotour.cn）向攜程相關(guān)負責(zé)人求證，該人士表示在該消息發(fā)布后，攜程旅行網(wǎng)立即展開技術(shù)排查并在消息發(fā)布兩個小時內(nèi)修復(fù)問題。并且攜程對于烏云平臺發(fā)現(xiàn)漏洞信息表示感謝，并將對于提供漏洞信息者給予獎勵。攜程旅行網(wǎng)始終對信息安全非常重視，對于此次漏洞事件如果有新的進展將持續(xù)通報。

同時，攜程表示，可能受影響的為3月21日與3月22日的部分交易客戶，目前尚沒有發(fā)現(xiàn)因相關(guān)問題導(dǎo)致客戶信息泄露及造成損失的情況發(fā)生。公司將繼續(xù)進行網(wǎng)絡(luò)安全的核查工作，如果有用戶因為該漏洞造成財產(chǎn)損失，攜程將賠償損失。

攜程旅行網(wǎng)官方微博在漏洞在2個小時之前將處理結(jié)果在微博上轉(zhuǎn)發(fā)，而該漏洞發(fā)布者豬豬俠也轉(zhuǎn)發(fā)攜程官微微博，稱這是一次負責(zé)任的漏洞披露流程，漏洞只有報告者一人知道。旅游圈（www.dotour.cn）聯(lián)系豬豬俠，至發(fā)稿之時止暫未得到回復(fù)。

（旅游圈原創(chuàng)報道，轉(zhuǎn)載請注明出處）

上一篇：移動互聯(lián)網(wǎng)“大躍進”隱憂：誰為用戶安全買單

下一篇：同程旅游：啟用新域名轉(zhuǎn)型休閑旅游以登月自喻

• 海航買下了《財經(jīng)》網(wǎng)運營公司80%的股權(quán)
• 東北首家主營旅游業(yè)上市企業(yè)“長白山旅游股...
• 恐怖襲擊給巴黎酒店業(yè)帶來了巨大沖擊
• 旅游特色小鎮(zhèn)的困境與破題
• 旅游景區(qū)的核心競爭力是什么？
• 去哪兒網(wǎng)高管 電話會議解讀第一季度財報
• 如家管理費從明降到暗降 經(jīng)濟型酒店錢緊...
• 去哪兒接到私有化要約 每股ADS 30....
• “天價魚”事件引發(fā)“旅游消費四問”
• 迪士尼主題公園是如何實踐虛擬現(xiàn)實的