昨晚,微博微信上一条消息被狂转:“各位注册过携程的,在携程用信用卡支付过的,赶紧关掉信用卡网上支付吧,出大事了……”“携程安全支付日志可遍历下载导致大量用户银行卡信息泄露(包括持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin)”另有微博称“致电银行已确认,为保安全需要换卡”。该微博还称“电话七分钟才接通,很多人在打”。
上述消息是否属实?扬子晚报记者昨晚向携程官方人士求证,对方回应称:3月22日,乌云(WooYun)漏洞平台(乌云是一个位于厂商和安全研究者之间的安全问题反馈平台)发布消息称:“携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。有可能被黑客所读取”。
在该消息发布后,携程旅行网立即展开技术排查并在消息发布两个小时内修复问题。携程对于乌云平台发现漏洞信息表示感谢,并将对于提供漏洞信息者给予重奖。携程旅行网始终对信息安全非常重视,对于此次漏洞事件,如果有新的进展将持续通报。
同时,携程表示,可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的核查工作,如果有用户因为该漏洞造成财产损失,携程将赔偿损失。