Uyunの報告によると、この脆弱性によって流出した情報には、ユーザーの名前、ID番号、銀行カードのカテゴリ、銀行カード番号、銀行カードCVVコード、銀行カード6桁Bin(支払いに使用される6桁の番号)が含まれ、上記の情報はハッカーによって読み取られる可能性があるとのことです。
報告書の全文は以下の通り。
この脆弱性に対し、同日23時22分、Ctripは、Ctripの技術スタッフが脆弱性を確認し、Ctripの調査の結果、脆弱性を発見した人物のみがテストダウンロードを行い、その中には潜在的なリスクを持つ合計93名のCtripユーザーが関与する、ごく少量の暗号化されたカード番号情報が含まれていたと回答しました。Ctripのカスタマーサービスは該当するユーザーに対し、本日中にクレジットカードを交換するよう通知しました。
事件のCtrip公式アプリケーションは、情報漏洩の大規模な領域を引き起こしませんでしたが、どのように表示されるように脆弱性の探査から入れていない?
Ctrip.comでホテルや航空券を予約・購入する場合、Ctripの安全な決済システムを通じて決済を完了するために、個人情報や決済情報を提供する必要があります。Ctripのセキュアペイメントシステムにはデバッグ機能が設定されており、決済中にユーザーの決済情報がサーバー上にログとして保存されます。問題は、Ctripがこれらのログを暗号化していないことです。さらに、ログを保存しているサーバーにも「ディレクトリトラバーサルの脆弱性」があり、これは「機密情報漏洩」の脆弱性に分類されます。この脆弱性を利用すれば、ハッカーは簡単にサーバー認証を回避し、ログサーバー上のディレクトリ情報にアクセスしたり、URLを構築することでログサーバーから直接ファイルを読み取ったりすることも可能です。ユーザーのクレジットカード情報を盗むプロセスは、以下のような段階を踏む可能性があります:
流出したCtripのソースコードを分析したところ、決済サーバー上のユーザーカード情報のログが暗号化されていないことが判明しました。
決済サーバーのIPアドレスは、攻撃を仕掛けるために様々な手段で取得されます。
ログサーバーをハッキングツールでスキャンすると、「ディレクトリトラバーサルの脆弱性」が見つかります。
ディレクトリトラバーサルの脆弱性」によるログファイルの場所の発見。
ログメッセージをプレーンテキストで読むための URL を構築します。
保存されるべきでないものが保存され、保存されたものが暗号化されず、暗号化されなかったものが時間内に削除されないという、Ctrip.comのセキュリティシステムにおける最大のミスが発覚し、この事件はソーシャルメディア上で大騒ぎになりました。Ctripのサービスを利用したことのあるネットユーザーからは、クレジットカードを変更したいという声や、すべての主要銀行のサービス電話番号がつぶれており、20分以上待っても誰も出ないという苦情が寄せられています。
