http://www.wooyun.org/bugs/wooyun-2014-054302

缺陷编号： WooYun-2014-54302
漏洞标题： 携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)
相关厂商： 携程旅行网
漏洞作者： 猪猪侠
提交时间： 2014-03-22 18:18
漏洞类型： 敏感信息泄露
危害等级： 高
漏洞状态： 等待厂商处理
漏洞来源：http://www.wooyun.org
Tags标签： 无


披露状态：

2014-03-22： 细节已通知厂商并且等待厂商处理中
简要描述：

携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
(类似IIS或Apache的访问日志，记录URL POST内容)。

同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

其中泄露的信息包括用户的：
持卡人姓名
持卡人身份证
所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）
所持银行卡卡号
所持银行卡CVV码
所持银行卡6位Bin(用于支付的6位数字)

漏洞hash：bf9165488f5e2ea3ca02ec6b310446b0

喷了

赶紧注销银行卡去

有ccv2牛逼了

我擦

一小时前刚携程定了个酒店

我操，怎么破？

携程连pci dss都没过吧
国内旅游网站就去哪儿过了

草，机票一直都是携程信用卡无卡支付订的，
妈的这只能等死了么，，，，，，

携程我艹尼玛 不过还好好像携程用过的那张信用卡过期了 但是尼玛身份证什么的都还在啊

请问改密码有用吗？

这是完全泄漏啊，可以统一盗刷了

wo cao 这摸多年我都坚持住了，去年用了两次携程旅游网。

麻痹，昨天才用了的

艹，过年还用了。

喷了，立马打电话给银行换卡

卡是招行的携程信用卡，不会有事吧。

从来不用携程跟艺龙，发卡跟发名片一样。

喷了cvv码都被记录了，直接可以刷钱了。

我不是直接支付的，而是信用卡担保，会不会也有问题？有的话也必须要换卡了……

携程必须死

没用过”。。。。。。但估计有身份证号码

我擦，这怎么搞？

我没用携程的帐号,是转的手机银行支付,也会泄露吗?

告死携程！

刚刚把携程上的信用卡信息删掉了.....携程你大爷的！

怎么删除？

我x,以后不用邪程了,MB昨天还订了机票+酒店

卧槽！！！！怎么办！！！

不是说盗刷可以银行承担么？

现在如何保护自己呢？
马上致电银行 更换卡片吗！？

去年帮朋友订过机票，有没有事？

登录携程网站，个人常用信息那里可以删除

涨姿势了

删了携程留得信用卡信息也没用吧，看泄露似乎是历史日志啊

操，还好没有在携程上用信用卡支付过。

数据库还没漏出来，到时候拖个库下来看看信息。:D

去哪儿这下要火了

应该已经漏了，TG正好有个被盗刷的帖

当事人说没有携程账号。

刚才打电话到招行信用卡热线了
我说我想改一下查询密码和支付密码什么的,客服直接就问我是否是因为邪程的信用卡信息泄露了,我承认了之后对方直接提出帮我换张新卡了
看来银行方面已经接到大量用户电话并且直接做换卡处理方案了
MB!!!!!!

从没用过，感觉好屌丝。。。

说了有啊

前2天交行打来电话说我信用卡信息被复制已经冻结要帮我换卡，我估计就这个事吧。

卧槽，明天看看

天坑啊！！！如果是网银交易的应该不会怎么样吧？

刷美金账户可是不需要密码的。

我一直认为携程是内地最安全的旅行网站
[color]只有携程支持 https
即使我看到这样新闻 我也相信我的判断.

艹。。 我的还是招行携程信用卡。。。

你是携程员工吧，喷了。

你到底懂不懂遍历下载这四个字的意思？？