携程重大安全漏洞 目前无用户受到影响

3月22日晚6时许,漏洞报告平台乌云网在其官网上公布了一条网络安全漏洞信息,指出携程网安全支付日志可被遍历下载,导致大量用户信息泄露(包含持卡人姓名身份证、号、卡CVV码、6位卡Bin),并称该漏洞已经过携程确认。 该漏洞描述中提到,由于携程用于处理用户支付的安全支付服务器接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,同时因为保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞。这一被归类为“敏感信息泄露”的高危害等级漏洞,被指可能导致大量携程用户持卡人姓名身份证、号、卡CVV码、6位卡Bin等信息外泄。 22日晚23点22分,乌云网发布消息称携程技术人员已经确认该漏洞,并在两小时内修复。携程称该漏洞受影响的用户为近期的部分交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现。