脆弱性の創設者は、Ctripのセキュリティ決済ログを任意にすることができますまた、ログを読み取ることができる、その結果、ユーザーの決済サービスのデバッグ機能を開いたためCtripのセキュリティ決済ログは、カード所有者の名前、IDカード、銀行カードカテゴリ、銀行カード番号、CVVコードおよびその他の情報を含む、リークすることができます。
Ctripは現在、この脆弱性を確認しており、専門家は利用者に対し、対応する銀行にカードの利用停止を直ちに申請するよう助言しています。脆弱性の提出者によると、Ctripはユーザーの決済処理に使用されるサービスインターフェースのデバッグ機能を開放し、カード所有者を確認するために銀行のインターフェースに送信されるすべてのパケットがローカルサーバーに直接保存されるようにしました。一方、決済ログを保存するサーバーには厳密なベースラインセキュリティが設定されていないため、ディレクトリトラバーサルの脆弱性が存在し、その結果、決済処理中のすべてのデバッグ情報を任意のハッカーに読み取られる可能性があります。
セキュリティログには、カード所有者名、カード所有者ID、保有カードの種類、保有カード番号、保有カードのCVVコード、保有カードの6桁Bin(支払いに使用される6桁の番号)などの情報が含まれます。
Ctripの関係者は、問題が脆弱性のリリースから2時間以内に修復されており、トランザクションの顧客の3月21日と3月22日の一部の影響を受ける可能性があり、まだ顧客情報の流出と状況の損失が発生したために引き起こされる問題のために発見されていないと述べ、Wuyun脆弱性プラットフォームの脆弱性情報を確認しました。Ctripはまた、任意のユーザーが脆弱性のために財産上の損害を被った場合、Ctripは損失を補償すると述べました。
しかし、シニアサイバーセキュリティ担当者は、まだ物的損害を引き起こしていないことを意味しないと述べたユーザーのアカウントと銀行のカード情報のセキュリティは、ユーザーがカードの一時停止を適用するために、対応する銀行の顧客サービスの電話を呼び出すことをお勧めします、または直接損失のため。
日本銀聯のリスク管理委員会が2008年に発行した「銀聯カードアクワイアラー口座情報セキュリティ管理基準」によると、各アクワイアラーのシステムは、取引の清算とエラー処理に必要な最も基本的な口座情報のみを保存することができ、銀行カードの磁気追跡情報、カード認証コード、個人識別コード、カードの有効期限を保存することはできません。 Ctripのログに保存された情報は、同基準の許容範囲を超えています。
