Pages

Saturday, 22 March 2014

携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)

缺陷编号: WooYun-2014-54302
漏洞标题: 携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)
相关厂商: 携程旅行网
漏洞作者: 猪猪侠
提交时间: 2014-03-22 18:18
漏洞类型: 敏感信息泄露
危害等级: 高
漏洞状态: 等待厂商处理
漏洞来源: http://www.wooyun.org
披露状态:
2014-03-22: 细节已通知厂商并且等待厂商处理中
简要描述:
携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。(类似IIS或Apache的访问日志,记录URL POST内容)
同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
其中泄露的信息包括用户的:
持卡人姓名
持卡人身份证
所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)
所持银行卡卡号
所持银行卡CVV码
所持银行卡6位Bin(用于支付的6位数字)
漏洞hash:bf9165488f5e2ea3ca02ec6b310446b0