3月22日晚間消息,漏洞報告平臺烏云網連續發布兩條漏洞報告,稱攜程安全支付日志可遍歷下載,導致大量用戶銀行卡信息泄露,其中包括持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin。
該漏洞的形成是由于攜程用于處理用戶支付的安全支付服務器接口存在調試功能,將用戶支付的記錄用文本保存了下來。同時因為保存支付日志的服務器未做較嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意駭客讀取。這一被歸類為“敏感信息泄露”的漏洞,被指可能導致大量攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息外泄。信用卡信息主要包含卡號、有效期、CVV2碼等,其中打印在卡片簽名區的3位CVV2碼又被稱作“第二密碼”,只要提供CVV2碼,就能完成支付。
對于此安全支付類漏洞,梆梆安全專家說到“隨著移動互聯網的快速發展,很多web端的漏洞已經逐漸減少,而很多新的漏洞則是從移動APP端找到,并發起攻擊的,攜程工程師說到web端的調試漏洞已經關系,很有可能這個調試漏洞是從攜程APP端發起攻擊的。而攜程的問題主要包含三個方面:一,服務器不合規,存在調試接口未關閉以及遍歷漏洞;二,缺乏健全的安全評估機制,不能提前發現客戶端和服務器調試接口未關閉等安全隱患;三,客戶端調試接口未關閉導致可利用客戶端的調試功能獲取指定客戶的銀行卡資料。”
梆梆安全專家提醒各位開發者,絕大部分移動App中都有很多的代碼缺陷和邏輯漏洞、會直接引向對服務器的漏洞挖掘和攻擊,要做好移動客戶端安全、保護好移動端這個新入口、才能降低因客戶端而帶來的服務器系統安全。
同時,針對移動支付類漏洞,梆梆安全專家建議各位開發者可以使用梆梆安全的加固服務。梆梆安全加固之前,對基線產品,服務器做合規檢測;專業的安全評估服務,其中安全評估服務可從系統、業務、賬號、數據和應用安全等全方位進行安全評估,符合人行安全評估標準,產品發布時對客戶端和服務器端做安全評估檢測;APP安全加固服務,防止客戶端被調試后暴露用戶隱私數據等都是梆梆安全加固都做的。梆梆安全加固服務重構了1024位的指令集映射,安全強度可比擬SHA1,可以很好的防止客戶端被調試、反編譯和動態注入。
(新聞稿 2014-03-24)