携程旅游漏洞出现,黑客白客相互沟通

上一礼拜天不太平。

　　3月22日，18点18分。一个偏号为54302的系统漏洞汇报，被曝出在网络安全问题反馈平台黑云(wooyun.org)之中，上传者是黑云的核心套子网络黑客“猪猪侠”。那份汇报说明，携程网的一个系统漏洞会造成大量用户银行卡信息泄漏，而这些信息内容可能直接引起银行卡诈骗等问题。

　　这一新消息飞快通过媒介广为人知，认知度甚至超出稍候曝光的另一条新闻报道《华为总部网络服务器遭美国安局侵入》，也超过先前曝出一些看着也很严重的系统漏洞。

系统漏洞商品详情

　　因为携程网用以处理用户支付的安全支付网络服务器插口存在校准功能，将用户支付的纪录用文件储存了出来。同时因为储存支付日记的网络服务器未做较严格要求的基线漂移安全配备，存在文件目录遍历系统漏洞，造成所有支付过程中的调试信息可被随意骇客加载。

　　所说遍历通常是指环绕着某条搜索线路，逐个对树中每个节点均做一次且仅做一次网络访问。这种被分类为“灵敏数据泄露”的系统漏洞，被指可能造成大量携程网用户此卡名姓、身份证号码、银行卡卡号、卡CVV码、6位卡Bin等信息内容外泄。

扣扣系统漏洞更大

　　黑云平台上一个偏号为54204的系统漏洞区块链报告显示，腾许扣扣手机客户端某默认设置安裝空間存在严重安全缺点，网络黑客可远程控制获得随意朋友的ClientKEY；相结合另外一个系统漏洞，即可避过腾许单点登陆系统的iP访问权限，登陆朋友的全程扣扣信息化系统，包括扣扣空間、扣扣像册、扣扣电子邮箱、qq微博等。显而易见这正中间掩藏着更大的私隐风险性。

有关报导

评伦：携程网为什么犯低等安全有误

让用户换卡的系统漏洞

CVV与PCI

71通电话

白帽黑客猪猪侠

系统漏洞 让用户换卡的系统漏洞

一个让用户换卡的系统漏洞

一个让用户换卡的系统漏洞

　　这个系统漏洞到底是什么原因儿？据悉，因为携程网用以处理用户支付的安全支付网络服务器插口存在校准功能，将用户的支付纪录用文件储存了出来。同时因为储存支付日记的网络服务器未做较严格要求的基线漂移安全配备，存在文件目录遍历系统漏洞，造成所有支付过程中的调试信息可被随意网络黑客加载。

　　所说遍历通常是指环绕着某条搜索线路，逐个对树中每个节点均做一次且仅做一次网络访问。这种被分类为“灵敏数据泄露”的系统漏洞，被指可能造成大量携程网用户的信息内容曝出，包括：此卡名姓、身份证号码、银行卡卡号、银行卡数量是CVV码、6位卡Bin等非常灵敏的内容。

携程网政策的表述为：技术开发者为了清查系统疑惑，留有了临时日记，因粗心大意未按时全部删除。不过MediaV公司CTO胡宁还是通过新浪微博提出批评称：“传输数据为加密算法，且线上线下竟一段时间打开校准功能，造成系统日志中亦为加密算法，又未按时清洁，所存放的网络服务器还有网络安全问题”。

　　有携程网的同行业对新智元表示，携程网在无线网络端有过不是非常安全的制作方法，这种方法虽然有利于用户操作，但存在一定的安全隐患。而携程网内部人士对新智元表示，这是一次“意外事故”的重大安全事故，携程网并不故意储存用户的基本信息，出现这样的问题携程网内部结构也感觉不能正确理解。

　　用户们也是不能正确理解。此次系统漏洞外泄的信息内容，代表用户银行卡数量是的基本上所有信息内容都存在曝出风险性，拥有这些信息内容，信用卡被盗刷可能变为一件易如反掌的事儿。

　　遭遇最大风险性的，是来源于于近日以前通过携程无线端有过市场交易行为的用户。携程网并没有发布系统漏洞存在的时间和范围，所以防范风险的最好方法，就是马上联络银行换卡。

　　据招商银行银行信用卡售后客服泄露，最近有很多用户已就携程网系统漏洞问题拨通咨询，其中绝大多数已经采用马上销户原来银行信用卡、再行开启新卡的紧急避险具体措施。招商银行工作者介绍说，再次制做银行信用卡需要2天时间，添加寄送大概需要一周时间，这期间银行信用卡没法使用。

评伦(31)

发送到:

CVV与PCI CVV与PCI

关键事情：CVV与PCI

遭遇泄漏风险性的信息内容中，CVV也是成为关注的主焦点。

　　遭遇泄漏风险性的信息内容中，CVV也是成为关注的主焦点。

　　CVV(Card Verification Value)也称为CVC(Card Validation Code)，资料显示，一部分信息内容是由银行卡账号、有效期限和服务明确代码生成的3位或4位数子，一般写在卡牌带磁的2磁道用户自定义数据区里头。CVV和CVC的添加方法是一样的，只是称呼相差太大罢了。

　　这个信息内容被用于在市场交易时进行核查。CVV在联网市场交易(刷卡消费)的时候核查，而当你不再真实刷卡消费的交易方式中，这个信息内容也是拥有决定性的的作用。不过值得详细描述的是，我们一般当你不再刷卡消费的支付过程中，需要提供的信息内容其实称为CVV2，也就是卡牌反面签名档边上的三位数。

　　作为灵敏信息内容，CVV2在第三方支付等不刷卡消费的市场交易中，拥有明确的处理要求。

　　根据银联商务公布的《收单业务组织帐户管理标准》，各三方支付平台系统只能存放用以市场交易清分、卡牌图片验证码、本人标志编码(PIN)及卡牌有效期限。磁道信息内容、卡牌图片验证码、本人标志编码、卡牌有效期限只用以完成银联信用卡市场交易，不能用以此外的所有其他主要用途。

　　多间提供线上支付的服务提供商也对新智元表示，在操作过程时会根据有关要求，不会对用户的基本信息违反规定存放。与CVV对比，其它让携程网遭遇责怪的英文缩写是PCI。

　　PCI，在金融行业内一般代指支付卡行业信息安全标准，即PCI-DSS(Payment Card Industry Data Security Standard)。拟定PCI目的是为了优化银行信用卡，储蓄卡和现金卡市场交易的安全，保护此卡的用户信息，防止被别人利用。

　　在这次泄漏恶性事件中，有人责怪携程网不享有符合PCI标准的资质证书，并将此归功于携程网在工作流程上出问题的原因。VeryCDceo戴云杰就公布提出质疑携程网：CVV2属于不宜存放的敏感数据。富于得到PCI资质证书的携程网同行业告诉新智元，这个资质证书申请并不易，能通过还要用时1年。

　　携程网到底有木有PCI资质证书呢？政策得出的回复是：携程网的制作方法，符合PCI-DSS要求。携程网将提高认识严格执行PCI-DSS的管控要求实行。

当然关于PCI的探讨并不是重中之重，也有得到PCI资质证书也一样被查的反例。对于普通顾客来讲，最核心的问题是：我到底安不安全？

　　详情公布的欠缺，让产值浩物的携程网用户社会群体惶恐不安。政策的叫法是：“经携程网清查，仅系统漏洞发现人做过检测免费下载，内容带有极少量加锁银行卡账号信息内容，共牵涉71名存在不确定性风险性的携程网用户”。携程网将在23日逐一通告这71名用户，没有接通电話则说明“是安全的，无须担忧”。

　　71这个产值，相对于携程网只能算作极少数人。一名22日为携程网平台有过市场交易的用户对新智元表示，并没有接到来源于携程网方面的电話通告。尽管和另几个近日有过携程网市场交易的用户一样，他们都对用户信息的安全体现了深层的顾虑，对携程网的归属感也降到最低。

　　事实上，在新智元取得联系的携程网用户中，绝大多数人已经采用了换卡的处理过程。

　　利好消息是目前为止，还没公布的信息内容显视有携程网用户因为这一系统漏洞遭受损害。而不行的新消息是，携程网数据泄露的情形，也许在更快之前已经引起损害。

　　广西省用户严茂军就是一个典型案例。依照一位携程网钻石卡vip会员的叙述，今年2月30日一大早，他的手机陆续出现好几条信用卡刷卡的短消息显示，有的以英镑清算、有的以欧元清算、有的以欧元清算，这几笔扣费合计数额不上人民币两万元。

　　两番追责之后，严茂军把怀疑对象锁住在携程网手上，据他的叙述只有和携程网账号绑定的三张银行信用卡，在2月30日那一天出现了十多笔盗刷外汇的恶性事件，并且另外的三张银行信用卡则相安无事。不过严茂军所明确提出的提出质疑，没有其他较为严实的直接证据才能证明材料，也很难让携程网此后成认。

　　“我也是这几间银行白金用户，拥有78小时赔付，不相信我的责任被盗刷，我不必自己支付，由白金商业保险担负”，在与新智元沟通交流时严茂军说携程网的网络安全问题也许成为银行的托词，他担忧如果出现问题会有很多非白金的用户需要自主担负损害。

　　一名银行权威人士也对新智元表示，出现银行卡诈骗其实很难追究责任。

白帽黑客 白帽黑客猪猪侠

会话白帽黑客猪猪侠

猪猪侠认为，这个有关腾许的系统漏洞其实更应该受到关注。

　　出现与银行信用卡有关的系统漏洞，自然会lenovo到与网络黑客有关的地底全产业链。

　　网络上关于网络黑客以及网络黑客身后爆利做买卖的报导，很多年至今一直广为人知。世界各国与网络黑客有关的信息盗取恶性事件也比比皆是，比如2013年12月中国最大程序猿网站CSDN举报称遭受黑客入侵、500余万客户信息被泄漏；往年12月，美国第三大销售商Target的5000万消费者银行信用卡数据失窃。

　　有名气互联网技术网络信息安全专家sunwear在微博中表示，网络黑客圈做银行信用卡制造业很早熟，殴美台日等都是网络黑客的目标，很多网站都会存储银行信用卡的银行卡账号、CVV、到期日等信息内容，携程网只是冰山一角，虽然很多数据是加锁或掩藏信息内容但未必好使。

　　他还释放一張某网络黑客坐落于西班牙的网络服务器中的信息内容载图，“其中的银行信用卡基本资料来源于东南亚某国际航空公司和几个台湾网站，总产量在900万条左右，依照网络黑客圈价位法国的卡一張可以做到几百元，大家自己想纯利润吧。不过我见到时数据已经放那年里，早被洗已过”。

　　不过并并不一定的网络黑客都从业这样的做买卖。网络黑客中有一种被称作白帽黑客，他们主要利用自己的技术检测网络和系统的性能，并不通过这种方法牟取暴利。

　　此次公布携程网系统漏洞的，就是黑云平台的核心白帽黑客猪猪侠，在新浪微博上他的Id是一串串英文名字，而他五位数的扣扣使用的也是其它三字中文名字。猪猪侠拥有一串串傲人的战况，被他发现系统漏洞的企业包括：携程网、腾许、优酷视频、网易网、盛大……仅在黑云公布的系统漏洞总数已达130个。

　　新智元：“你为啥能发现那么多系统漏洞”。

　　猪猪侠：“产品经理为了产品的可维护性，会搜集各类数据来完善产品体验”。

　　在沟通交流中，猪猪侠也许感受到了某类外在的压力，他对新智元坦言近日并不太想对于携程网系统漏洞一事发布过多的评伦，有时目前已经有有关部门干预之事。除此以外，他另外在新浪微博上表示：目前自己已经将安全测试涉及的日记信息内容彻底消除全部删除， 携程网也已经按时修复漏洞。

　　对于携程网宣称提供奖金一事，猪猪侠说他没有当真。事实上，携程网系统漏洞这件事情被关注的程度，并不在猪猪侠的料想以内，他过后总结说可能意味着这个系统漏洞直接与钱联系。

　　“真正应该火的是这个系统漏洞”，猪猪侠给了新智元一个连接：

　　这是一个3月21日，14点10分公布在黑云平台，偏号为54204的系统漏洞汇报。那份区块链报告显示，腾许扣扣手机客户端某默认设置安裝空間存在严重安全缺点，网络黑客可远程控制获得随意朋友的ClientKEY；相结合另外一个系统漏洞，即可避过腾许单点登陆系统的iP访问权限，登陆朋友的全程扣扣信息化系统。包括扣扣空間、扣扣像册、扣扣电子邮箱、qq微博等。显而易见这正中间掩藏着更大的私隐风险性，至截稿时，新智元此后咨询腾许方面还没得到回复。