Ctripは支払いログの脆弱性にさらされ、ユーザーのクレジットカード情報が漏洩した。

新浪科技は3月22日夜、脆弱性報告プラットフォームWuyun.comが本日公式サイトでネットワークセキュリティの脆弱性情報を発表し、Ctripのセキュア決済ログが横断・ダウンロード可能で、大量のユーザーの銀行カード情報（カード所有者の名前、IDカード、銀行カード番号、カードCVVコード、6桁のカードBinを含む）が漏洩したと指摘したと報じた。また、詳細はメーカーに通知しており、メーカーの処理を待っていると述べた。さらに、Ctrip のブランチの 1 つでソース コード パッケージを直接ダウンロードできることも明らかになりました。

脆弱性の詳細:

ユーザーの支払いを処理するための Ctrip の安全な支払いサーバー インターフェースにはデバッグ機能があるため、ユーザーの支払い記録はテキストで保存されます。同時に、支払いログを保存するサーバーはベースライン セキュリティで厳密に構成されていないため、ディレクトリ トラバーサルの脆弱性があり、すべての支払いプロセスのデバッグ情報がハッカーによって読み取られる可能性があります。

いわゆるトラバーサルとは通常、特定の検索ルートに沿ってツリー内の各ノードを 1 回だけ順番に訪問することを指します。この脆弱性は「機密情報漏洩」に分類されており、氏名、身分証明書、銀行カード番号、カードCVVコード、6桁のカードBinなど、Ctripユーザーの大量のカード所有者情報が漏洩する可能性があるとされている。

Ctrip はすでにこの脆弱性の調査を開始していますが、記事執筆時点では公式な回答を出していません。 （シュウ・シ）

さらに読む:

• Ctripユーザーの方は、頭上のセキュリティの暗雲に注意してください

原題: Ctrip の支払いログの脆弱性が明らかになり、ユーザーのクレジットカード情報が漏洩

キーワード: Ctrip、ログの脆弱性、ウェブサイトのセキュリティ、ユーザーのプライバシー