A5ウェブマスターネットワーク(www.adming5.com)は3月24日、Wuyun脆弱性プラットフォームが先週末、Ctrip.comの支払いログに脆弱性があり、大量のユーザーの銀行カード情報が漏洩する可能性があるというメッセージを公開したと報じた。一時期、Ctripは論争の中心となっていた。 脆弱性の詳細: ユーザーの支払いを処理するための Ctrip の安全な支払いサーバー インターフェースにはデバッグ機能があるため、ユーザーの支払い記録はテキストで保存されます。同時に、支払いログを保存するサーバーはベースライン セキュリティで厳密に構成されていないため、ディレクトリ トラバーサルの脆弱性があり、すべての支払いプロセスのデバッグ情報がハッカーによって読み取られる可能性があります。いわゆるトラバーサルとは通常、特定の検索ルートに沿ってツリー内の各ノードを 1 回だけ順番に訪問することを指します。この脆弱性は「機密情報漏洩」に分類されており、氏名、身分証明書、銀行カード番号、カードCVVコード、6桁のカードBinなど、Ctripユーザーの大量のカード所有者情報が漏洩する可能性があるとされている。 CVV はカード検証値の略で、カード番号、有効期限、サービス制約コードから生成される 3 桁または 4 桁の番号です。通常、カードの磁気ストライプのトラック 2 のユーザー定義データ領域に書き込まれます。パスワードなしの支払い方法はクレジットカードの「オフライン取引」とも呼ばれ、カード番号やCVVコードなどの情報だけで支払いが完了できます。専門家は、CVV セキュリティ コードはクレジットカードの「第 2 のパスワード」に相当するものであり、適切に保管する必要があることを注意喚起しています。 ニュースが発表された後、Ctrip.comは直ちに技術調査を開始し、ニュース発表から2時間以内に問題を修正しました。 Ctripは、影響を受ける可能性があるユーザーは3月21日と22日に取引を行った一部の顧客であり、脆弱性により対応する財産的損失を被ったユーザーは確認されていないと述べた。 Ctrip は脆弱性情報を提供した方に多額の報奨金を提供するとともに、この脆弱性インシデントに関して新たな進展があれば引き続き報告します。 この事件は起こるとすぐに、広く注目を集めました。これは個人情報の漏洩だけではなく、銀行カード情報、ID番号、銀行カード番号、CVVコード、6桁のカード番号などの情報も漏洩するからです。キングソフト・アンチウイルスのセキュリティ専門家、李鉄軍氏は、中国新聞社ITチャンネルのインタビューで、CtripとWuyunが公開した情報から判断すると、Ctripユーザーのプライバシー漏洩のプロセスは完全には確認できないが、その結果生じるユーザーのセキュリティリスクは非常に大きいと述べた。 「クレジットカード詐欺の可能性に加え、ユーザーに関するこうした情報を知ることで、第三者の支払いアカウントを作成し、クレジットカードを紐付けて海外での購入も可能になる可能性がある」。クレジットカードにはオフライン決済と呼ばれる決済機能があり、ユーザーの基本情報とCVVコードさえ知っていれば、これを使って支払いができることが分かっている。 この脆弱性の原因については、なぜCtripがユーザーの支払い記録をテキスト形式で保存しているのかと疑問視する声が多く寄せられている。一部の専門家は、Ctripが顧客の銀行カード情報を保存していることはUnionPayの規定に違反しており、PCI-DSS(サードパーティ決済業界のデータセキュリティ標準)ではCVVの保存は許可されていないと規定されていると述べた。 支払い処理中にウェブサイトがユーザー情報を保護する方法に関する関連標準は、国内外に複数存在します。国際的に最も権威のある標準は、PCI-DSS (サードパーティ決済業界データセキュリティ標準) です。この標準認証に参加する企業は、PCI 認証で要求されているように、厳格な年次セキュリティ評価と四半期ごとの ASV 脆弱性スキャンを受ける必要があります。しかし、中国では積極的にこの認証を取得しているウェブサイトは少なく、昨年末にはCtripでPCI-DSS認証ロゴが見つからなかったとの報道もありました。 業界の巨人であるCtripがこのような低レベルのミスを犯すのは本当に不適切です。どのような業界であっても、顧客の利益が最優先であることを忘れないでください。これは競合他社にとってのチャンスとなる可能性があるため、ブランド広報をしっかり行うよう注意喚起します。 関連記事: Ctripは支払いログの脆弱性にさらされ、ユーザーのクレジットカード情報が漏洩した。 Ctripユーザーの方は、頭上のセキュリティの暗雲に注意してください Ctripの「秘密漏洩」は中央銀行の監督の正当な理由となる Ctripは、ユーザーの銀行カード情報を違法に保存する決済の抜け穴を暴露し、質問を受けた。 Ctripの脆弱性は、インターネット業界全体のセキュリティ意識の低さを露呈している A5 Webmaster Networkは、インターネット起業家や企業のウェブサイト向けに、ブランドプロモーションソリューション、SEO診断とコンサルティング、電子商取引サービスを提供しています。(詳細については、http://www.admin5.com/qiye/をご覧ください)A5 Webmaster Network公式WeChatアカウント:iadmin5 原題: 日刊トピック: Ctrip 決済の脆弱性、ユーザーの銀行カード情報を不正に保存する疑い キーワード: Ctrip、支払い抜け穴 |
<<: 優れたウェブサイト最適化スキルはウェブサイトの重量のガソリンスタンドです
>>: 清コミュニティの「金儲け術」:自由コミュニティが儲かる、昨年は1億円の利益
国内のデータベースが開発の主力となり、技術革新が目覚ましい成果を上げている2023年上半期、データベ...
Pinterestはとても人気があります。 comScore のデータによると、Pinterest ...
Racknerd は、ロサンゼルスに 2 番目のデータ センター Multacom を追加しました。...
WeChatの突如の出現は、中国電信、中国移動、中国聯通の3大通信事業者のSMSと音声機能市場を猛烈...
[[404037]]この記事はWeChatの公開アカウント「Coffee Latte」から転載したも...
SEOは関連性が重要検索エンジンでキーワードを検索すると、通常、多数のページが返されます。これらのペ...
inet.ws は 2009 年に設立された会社です。主に無制限のトラフィック (100M ~ 50...
全体的に、SEO は要求の厳しい職業です。また、SEO 作業は 1 人で完了できないことが多いため、...
racknerdはどうですか? racknerdは良いですか?今回は、東海岸のニュージャージーデータ...
中小規模のウェブマスターとして、私たちは実際に次の 3 つの点を懸念しています。 1:ウェブサイトの...
調査機関の調査によると、2019 年に 48% の組織がクラウド コンピューティング ビジネス イン...
百度がザクロアルゴリズムをリリースして以来、オリジナルコンテンツはインターネット上で話題になっていま...
多くの人が SEO について誤解しています。 SEO を神話にする。実際のところ、SEO は単なる補...
Cubecloudの毎年恒例のダブル11イベントが始まりました。サイト全体で生涯15%オフの継続割引...
1. バフェット氏、フェイスブック株で一夜にして金持ちになるのは良くない考えだと語るテンセントテクノ...