攜程”漏洞門”已修復未發現財產損失 無需盲目恐慌
近日,烏云(Woo Yun)漏洞平臺發布消息,由于攜程系統存技術漏洞,可導致用戶個人信息、銀行卡信息等泄露。據記者向攜程方面了解,漏洞被發現后,攜程立即展開技術排查,并在兩小時內修復了這個漏洞。攜程對于此次事件給客戶公眾帶來的不便和恐慌深表歉意,一些業內人士和信息安全專家也表示,此次事件由于人為疏忽造成,由于攜程堵漏及時,對信息安全造成的威脅不大,攜程的廣大用戶不必盲目恐慌。
烏云是誰,漏洞是否補上?
據悉,此前烏云發布的信息稱:攜程安全支付日志可遍歷下載,導致銀行卡信息泄露的可能。
據記者了解,烏云(WooYun)漏洞平臺是一個位于廠商和安全研究者之間的安全問題反饋平臺。其對注冊的用戶做嚴格的校驗,所有安全信息在按照流程處理完成之前不會對外公開,廠商必須得到足夠的身份證明才能獲得相關的安全信息。總得來說,“烏云網不會惡意將數據信息擴散的,它也有著嚴格的安全機制。”
攜程在官方聲明中表示:經查,攜程的技術開發人員之前是為了排查系統疑問,留下了臨時日志,因疏忽未及時刪除,目前,這些信息已被全部刪除。
攜程在漏洞發現后,兩小時及時補上漏洞,經排查,僅漏洞發現人做了測試下載,內容含有極少量加密卡號信息,共涉及93名存在潛在風險的攜程用戶。攜程客服于3月23日通知相關用戶更換信用卡,銀行方面也會盡快協助用戶辦理換卡手續。沒有接到攜程客服換卡通知的用戶,個人信息均是安全的。
是否真的安全?專家提醒:用戶不必盲目恐慌
關于此次攜程的漏洞,因為涉及信用卡信息等,引起了人們的普遍關注,不少此前在攜程使用過信用卡的用戶都產生質疑,那么是否此前在攜程使用過信用卡的用戶都需要更換信用卡呢?
根據,攜程此前的聲明顯示,此次事件,共涉及93名存在潛在風險的攜程用戶,攜程已通知存在潛在風險的93名用戶更換信用卡。
但攜程此次漏洞所泄漏的信息是否真的造成嚴重后果,記者為此采訪了中國黑客元老,知名網絡安全專家龔蔚( 網名goodwell)。龔蔚表示,通過查看wooyun網站紕漏的一些細節,我們了解到這次泄密是由于交易信息存放在日志中,而日志的目錄恰好暴露在外可以被遍歷導致。如果我們換一個場景,若是一個暴漏在外的遍歷問題(可以查看到網站的所有文件列表),只不過他記錄的是比如圖片訪問或者留言等日志,那么也不會炒的這么火熱了。
“我認為,出現這種狀況的很大的可能就是技術人員的一個操作失誤或者是安全意識不夠強,把調試信息打開,方便了自己的同時方便了黑客。” 龔蔚還表示:“我以前也跟攜程的安全人員打過交道,他們非常的重視安全,也有相應的技術控制,可就是個別技術人員的低級失誤,才讓黑客有機可乘。這是個值得讓所有企業引以為鑒的。”#p#分頁標題#e#
IDF互聯網情報威懾防御實驗室萬濤接受記者采訪時表示:“本次事件發生后,個人認為系統調試不應在生產環境中進行,感覺攜程負責安全的朋友們很不容易,遭受著巨大的內部和外部壓力,希望本次事件能夠引起攜程高層對信息安全與公司業務關系的真正重視,作為一家成熟的互聯網企業,應該考慮從治理層面重新調整信息安全與公司業務的關系,包括合規性檢查等。”
記者還采訪了全球知名的Web應用安全組織OWASP上海地區負責人宋國徽:“其實漏洞并沒有網上說的影響面那么大,大家也沒必要因為這件事就人心惶惶,理智的面對問題,分析問題,解決問題才是最重要的,也希望攜程能夠在這件事情中汲取教訓,加強安全管理和意識,避免此類事情的再次發生,尊重事實,理性評價。”
最后,這些信息安全專家也給出了一些關于信用卡安全的相關提醒,首先,現在一般信用卡都有消費短信提醒,建議持卡人盡量開通,如果收到莫名的消費短信,應該盡快致電相關銀行的客服處理。其次,信用卡上3位數的CVV碼、有效期等敏感信息不要輕易暴露給陌生人,特別是服務員、收銀員。最后,如果發生信用卡丟失的情況,應該盡快致電銀行客服進行掛失,以免造成額外的損失。
上一篇:出國去旅行網:借力星星熱的韓國京畿道旅游局為什么找上了他們
粵公網安備 44011302000493號