Incidente de exposición a la nube oscura
El incidente de Ctrip estalló el 22 de marzo. En ese momento, la conocida plataforma de exposición a vulnerabilidades de sitios web "Wuyun.com" lanzó los paquetes de código fuente llamados "Pigman" y "Ctrip" para descarga directa ( que involucra configuración de base de datos e interfaz de pago) Información)" y "Los registros de pago seguro de Ctrip se pueden atravesar y descargar, lo que resulta en la filtración de una gran cantidad de información de tarjetas bancarias de los usuarios (incluidos nombres de titulares de tarjetas, tarjetas de identificación y números de tarjetas)". Los registros de pago seguro de Ctrip se pueden recorrer y descargar, lo que resulta en la filtración de una gran cantidad de información de la tarjeta bancaria del usuario (incluido el nombre del titular de la tarjeta, la tarjeta de identificación, el número de la tarjeta bancaria, el código CVV de la tarjeta bancaria y el contenedor de tarjetas de 6 dígitos)". Se publicaron dos datos en Wuyun.com.
Entre ellos, el último tipo de vulnerabilidad se clasifica como "fuga de información confidencial" y el nivel de peligro es "alto riesgo". p> La causa del incidente es que se utiliza Ctrip para manejarlo. Durante el proceso de depuración, la interfaz del servidor de pago seguro para el pago del usuario guarda el registro de pago del usuario en forma de texto. log no tiene la configuración de seguridad básica estricta de la escuela, existe una vulnerabilidad de cruce de directorio, que provoca toda la depuración durante el proceso de pago. La información puede ser leída por cualquier pirata informático.
El recorrido generalmente se refiere a uno solo. Una visita a cada nodo en la estructura de árbol a lo largo de la ruta de búsqueda. Se informa que esta vulnerabilidad está clasificada como "Fuga de información confidencial" y resultó en la filtración de nombres de titulares de tarjetas, números de identificación, números de tarjetas bancarias, códigos CVV de tarjetas bancarias y 6-. números de tarjeta de dígitos de una gran cantidad de usuarios de Ctrip.
La solución al problema es como se menciona al principio de este artículo. Ctrip respondió rápidamente en su Weibo oficial esa noche que los departamentos relevantes de la compañía habían lanzado una solución técnica. investigación lo antes posible y solucionó la vulnerabilidad dentro de las dos horas posteriores a la publicación de la noticia.
Pero vale la pena prestar atención a ello, según el artículo 28 de las "Medidas de gestión para empresas adquirentes de tarjetas bancarias". emitido por el Banco Popular de China, los adquirentes no pueden almacenar información de seguimiento de tarjetas bancarias o información de chip, códigos de verificación de tarjetas bancarias, período de validez de tarjetas bancarias, códigos de identificación personales y otra información confidencial. para evitar que los comerciantes especiales y las agencias de servicios subcontratados almacenen información confidencial de tarjetas bancarias
UnionPay emitió las "Especificaciones de gestión de seguridad de la información de la cuenta del adquirente de tarjetas UnionPay" en 2008. "También estipula que los terminales de aceptación de tarjetas bancarias se limitan a guardar. los elementos de información básicos necesarios para la liquidación de transacciones dentro del lote de transacciones actual y liquidarlos de manera oportuna al final del lote no se permite que todos los tipos de terminales de aceptación almacenen información de seguimiento de tarjetas bancarias, verificación de tarjetas bancarias Información confidencial de la cuenta; como código de identificación personal y período de validez de la tarjeta bancaria
"A partir de la divulgación actual, puede haber algunas fallas por parte de Ctrip. "Wang Yu, un experto en gestión de riesgos de UnionPay, afirmó que hemos estado promoviendo activamente que las instituciones relevantes implementen estrictamente los requisitos pertinentes. Los comerciantes y adquirentes no pueden retener información confidencial de los titulares de tarjetas, y se deben tomar múltiples medidas para fortalecer la seguridad de la información de El proceso de transacción en la cadena de transacciones también debe mejorar la gestión de la seguridad de la información a través de varias medidas.
Sin embargo, los peligros ocultos de fuga de información de Ctrip no se limitan a estos
La mayor vulnerabilidad. radica en el almacenamiento irrazonable. Calificación de la información
"Este programa se ha estado utilizando desde 2010", reveló un ejecutivo de la industria de pagos, si solo se pasan con éxito el número de la tarjeta de crédito y la fecha de vencimiento, la laguna jurídica es demasiado grande. .
"En teoría, la interfaz de la empresa de pagos de terceros del banco debe proporcionar una verificación del nombre real, lo que significa que se debe proporcionar el nombre de una persona, el número de identificación, el número de tarjeta y el período de validez del CVV para completar la deducción. De hecho, Ctrip no tiene derecho a retener la tarjeta bancaria y otra información de los usuarios porque debe ser un banco o una institución externa calificada. Pero Ctrip está familiarizado con el camino y ha estado realizando este tipo de retención. Hasta donde yo sé, si no le proporciona dicha interfaz, Ctrip no cooperará con usted. Y las condiciones de cooperación son muy duras". revelaron las fuentes.
A juzgar por las noticias que circulan en la nube oscura, Ctrip está reteniendo las tarjetas bancarias, documentos de identidad y otra información confidencial de los usuarios.
El problema más importante es que obviamente este no es un problema nuevo y Ctrip no lo ha resuelto
.