网曝携程大量用户银行卡信息或泄露 回应：已修复漏洞将赔偿损失

东南网3月23日讯（本网记者 颜财斌）3月22日17:28，“wooyun.org”网站发布了网友“猪猪侠”提供的关于“携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)”的信息；18:18，该网站再次发布信息表示：携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin) 。

此两条信息经过网络传播后迅速引起许多网友关注和评论。携程旅行网官方微博表示，其相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现，并将对于提供漏洞信息者给与重奖。

事件：网友反映携程泄露用户银行卡信息

当晚，记者在“wooyun.org”上找到了标有“漏洞作者：猪猪侠”的这两则相关信息，其标题分别为《携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息) 》和《携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin) 》。两则帖子内“漏洞概要”中标注的“危害等级”均为“高”。

其中，在《携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin) 》帖子中的“漏洞简要描述”写着：“携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时，因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。”

帖子还清楚地指出：“泄露的信息包括用户的：持卡人姓名、持卡人身份证、所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）、所持银行卡卡号、所持银行卡CVV码、所持银行卡6位Bin(用于支付的6位数字)。”