毎日の話題:Ctripの決済脆弱性、ユーザーの銀行カード情報を不正に保存している疑い

毎日の話題:Ctripの決済脆弱性、ユーザーの銀行カード情報を不正に保存している疑い

A5ウェブマスターネットワーク(www.adming5.com)は3月24日、Wuyun脆弱性プラットフォームが先週末、Ctrip.comの支払いログに脆弱性があり、大量のユーザーの銀行カード情報が漏洩する可能性があるというメッセージを公開したと報じた。一時期、Ctripは論争の中心となっていた。

脆弱性の詳細:

ユーザーの支払いを処理するための Ctrip の安全な支払いサーバー インターフェースにはデバッグ機能があるため、ユーザーの支払い記録はテキストで保存されます。同時に、支払いログを保存するサーバーはベースライン セキュリティで厳密に構成されていないため、ディレクトリ トラバーサルの脆弱性があり、すべての支払いプロセスのデバッグ情報がハッカーによって読み取られる可能性があります。いわゆるトラバーサルとは通常、特定の検索ルートに沿ってツリー内の各ノードを 1 回だけ順番に訪問することを指します。この脆弱性は「機密情報漏洩」に分類されており、氏名、身分証明書、銀行カード番号、カードCVVコード、6桁のカードBinなど、Ctripユーザーの大量のカード所有者情報が漏洩する可能性があるとされている。

CVV はカード検証値の略で、カード番号、有効期限、サービス制約コードから生成される 3 桁または 4 桁の番号です。通常、カードの磁気ストライプのトラック 2 のユーザー定義データ領域に書き込まれます。パスワードなしの支払い方法はクレジットカードの「オフライン取引」とも呼ばれ、カード番号やCVVコードなどの情報だけで支払いが完了できます。専門家は、CVV セキュリティ コードはクレジットカードの「第 2 のパスワード」に相当するものであり、適切に保管する必要があることを注意喚起しています。

ニュースが発表された後、Ctrip.comは直ちに技術調査を開始し、ニュース発表から2時間以内に問題を修正しました。 Ctripは、影響を受ける可能性があるユーザーは3月21日と22日に取引を行った一部の顧客であり、脆弱性により対応する財産的損失を被ったユーザーは確認されていないと述べた。 Ctrip は脆弱性情報を提供した方に多額の報奨金を提供するとともに、この脆弱性インシデントに関して新たな進展があれば引き続き報告します。

この事件は起こるとすぐに、広く注目を集めました。これは個人情報の漏洩だけではなく、銀行カード情報、ID番号、銀行カード番号、CVVコード、6桁のカード番号などの情報も漏洩するからです。キングソフト・アンチウイルスのセキュリティ専門家、李鉄軍氏は、中国新聞社ITチャンネルのインタビューで、CtripとWuyunが公開した情報から判断すると、Ctripユーザーのプライバシー漏洩のプロセスは完全には確認できないが、その結果生じるユーザーのセキュリティリスクは非常に大きいと述べた。 「クレジットカード詐欺の可能性に加え、ユーザーに関するこうした情報を知ることで、第三者の支払いアカウントを作成し、クレジットカードを紐付けて海外での購入も可能になる可能性がある」。クレジットカードにはオフライン決済と呼ばれる決済機能があり、ユーザーの基本情報とCVVコードさえ知っていれば、これを使って支払いができることが分かっている。

この脆弱性の原因については、なぜCtripがユーザーの支払い記録をテキスト形式で保存しているのかと疑問視する声が多く寄せられている。一部の専門家は、Ctripが顧客の銀行カード情報を保存していることはUnionPayの規定に違反しており、PCI-DSS(サードパーティ決済業界のデータセキュリティ標準)ではCVVの保存は許可されていないと規定されていると述べた。

支払い処理中にウェブサイトがユーザー情報を保護する方法に関する関連標準は、国内外に複数存在します。国際的に最も権威のある標準は、PCI-DSS (サードパーティ決済業界データセキュリティ標準) です。この標準認証に参加する企業は、PCI 認証で要求されているように、厳格な年次セキュリティ評価と四半期ごとの ASV 脆弱性スキャンを受ける必要があります。しかし、中国では積極的にこの認証を取得しているウェブサイトは少なく、昨年末にはCtripでPCI-DSS認証ロゴが見つからなかったとの報道もありました。

業界の巨人であるCtripがこのような低レベルのミスを犯すのは本当に不適切です。どのような業界であっても、顧客の利益が最優先であることを忘れないでください。これは競合他社にとってのチャンスとなる可能性があるため、ブランド広報をしっかり行うよう注意喚起します。

関連記事:

Ctripは支払いログの脆弱性にさらされ、ユーザーのクレジットカード情報が漏洩した。

Ctripユーザーの方は、頭上のセキュリティの暗雲に注意してください

Ctripの「秘密漏洩」は中央銀行の監督の正当な理由となる

Ctripは、ユーザーの銀行カード情報を違法に保存する決済の抜け穴を暴露し、質問を受けた。

Ctripの脆弱性は、インターネット業界全体のセキュリティ意識の低さを露呈している

A5 Webmaster Networkは、インターネット起業家や企業のウェブサイト向けに、ブランドプロモーションソリューション、SEO診断とコンサルティング、電子商取引サービスを提供しています。(詳細については、http://www.admin5.com/qiye/をご覧ください)A5 Webmaster Network公式WeChatアカウント:iadmin5


原題: 日刊トピック: Ctrip 決済の脆弱性、ユーザーの銀行カード情報を不正に保存する疑い

キーワード: Ctrip、支払い抜け穴

<<:  優れたウェブサイト最適化スキルはウェブサイトの重量のガソリンスタンドです

>>:  清コミュニティの「金儲け術」:自由コミュニティが儲かる、昨年は1億円の利益

推薦する

Danmu 動画サイトの成長に混乱: ACG 文化の海賊版が蔓延

【概要】同時に、年齢を重ねるにつれて、一部のユーザーは家庭生活を離れ始め、日本の二次元文化に焦点を当...

Baidu による PPS の買収は、ビデオ検索に新たな発展の勢いをもたらすことができるか?

百度のiQiyiがPPSを買収することを決定したというニュースが瞬く間に広まるにつれ、同社は将来のビ...

Kafka ネットワーク層ソースコード実装メカニズムにおけるメッセージの送受信プロセス全体の図解説明

みなさんこんにちは。Hua Zaiです。またお会いできて嬉しいです。今日は主に Kafka ネットワ...

Zunxiang.comの崩壊の暴露:高級品Eコマースのビジネスモデルは疑問視されている

他の人は貪欲だが、私は恐れている。バフェットのこの古典的な投資の引用は、高級電子商取引業界に非常に適...

SEOの価値は検索エンジンに反映されるだけではない

この記事はそんな中で生まれました。当時、私はグループ内のSEO初心者の友人たちと雑談をしていました。...

杭州Siyiou SEO最適化会社紹介

Siyiou は杭州にある SEO 最適化会社です。Siyiou は 2003 年に設立されました。...

panamaserver-パナマサーバー、著作権なし、苦情防止、オフショアサーバー

2004年に設立されたパナマのホスティング会社であるpanamaserverは、オフショアホスティン...

Tencent Cloudが役立ちます! 「大運河国立文化公園デジタルクラウドプラットフォーム」の構築

2,500年以上の歴史を持つ大運河は、クラウドへの移行を加速させています。 4月23日、テンセントク...

より良い運用方法を教えます、WeChat SEO モデルに関する 8 つの実用的なヒント!

地下鉄が混み合っているため、毎朝9時にバックパックを背負って出かけます。携帯電話を取り出して昨日の記...

NFVがなければ5Gもありません。 6 年間の仮想化の旅の後半の刺激的な旅が始まったばかりです。

私たちがNFVを愛してから6年が経ちました。この物語は、AT&T、ブリティッシュ・テレコム、...

フォーラムマーケティングの特徴は何ですか?

フォーラム マーケティングは、実際にはフォーラム プロモーションのアップグレードです。フォーラム マ...

SEOを学ぶ5つの側面を探る

SEO に直面すると、多くの人が戸惑います。始め方がわからない人、理解できないと思う人、一生懸命努力...

オンサイト最適化に関する重要な知識をまとめる

ウェブサイト構築において最適化は非常に重要です。競争力を高めるために、多くのウェブサイトが最適化対策...

外部リンクの詳細はページのURL設定に影響し、ランキングの傾向を決定します

2012年に百度の検索エンジンアルゴリズムが変更されたことは、喜びと悲しみの両方をもたらした。良いニ...

企業が導入できる優れたクラウドセキュリティソリューションとは

クラウド コンピューティング テクノロジーは急速に発展し続けており、企業はより高速で、より安価で、よ...