首页 > 安全 > 正文
分享到:

携程银行卡“泄密门”升级 百度安全发布预警

时间:2014-03-24 09:30:08 来源:中国通信信息安全网 评论:0 点击:0
  3月22日,漏洞报告平台乌云发布消息称,携程旅行网安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。而不少论坛、贴吧和聊天群中也散布着同样的消息,强烈吸引着猎奇心较重的网民。百度安全中心发布紧急发布风险提醒称,近期,网友不要点击或接收以“携程信用卡泄露信息目录”为名的网站链接或文件,因为文件或推广链接中可能混杂了木马程序,用户应谨慎访问。

 
 
 
 
  乌云报告称,携程因将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。h

  此次安全事件带来的影响虽无法预测,但此前爆发的类似事件却给我们警示。

  2013年,国内某些知名快捷酒店开房记录因网站漏洞被公开,引发媒体舆论关注和公众热议。不少担心隐私泄漏的网民,尝试着在网上购买或搜索下载“开房记录”,来查询自己是否名列其中。被擅于捕捉热词的黑客获知,提前做好挂马网站,静候“鱼儿”上钩,造成大量网民被木马入侵。
此外,在此次事件中“酒店开房记录”木马伪装成专用播放器、BT种子等资源,通过聊天群共享文件、垃圾邮件推送等渠道大规模传播,造成安全意识不够的用户中招,电脑沦为黑客的“肉鸡”,出现被盗号或电脑不断弹出广告的情况。

  目前,百度卫士的恶意网址检测功能已经可以对网民访问的网址进行安全检测,当发现有风险网站时,会弹窗拦截告知用户。如用户对未知的网站要进行访问时,也可以通过该功能对网址进行风险检测。此外,百度杀毒也可对下载、传输文件进行实时安全监测。

 
 
 
 
  百度安全专家提醒称,当发生重大安全事件后,网民在下载资源时更应注意识别文件后缀,运行陌生网站要防止网站被挂马,不要轻易运行陌生网站上的可执行程序。同时,网民应注意开启百度卫士、百度杀毒等安全软件,帮助拦截伪装热门资源的欺诈网站和木马病毒。