携程曝安全漏洞 消费者买机票被骗3万(转载)

小子真好

　　作为高科技的互联网公司，通过用户注册等方式保管着大量的用户的个人信息，所以信息安全非常重要，一点出现纰漏，将给用户带来不可挽回的巨大损失。用户在携程订机-票被骗3万2015年10月13日，于先生通过携程网给女儿...

　　作为高科技的互联网公司，通过用户注册等方式保管着大量的用户的个人信息，所以信息安全非常重要，一点出现纰漏，将给用户带来不可挽回的巨大损失。

　　
　　用户在携程订机-票被骗3万

　　2015年10月13日，于先生通过携程网给女儿订了一张南航10月17日长春飞往济南的机-票。10月16日晚上20点06分，他的手机突然收到一条短信，内容为“尊敬的某某旅客您好!很抱歉通知，您预订的CZ6441长春-济南10月17日08:05:00-10:00：00起飞的航班因机械故障已取消，请联系航班改签专线：4006760726(注：每位旅客改签需收取20元工本费，改签成功后由民航赔付航班延误险补偿200元整)【南方航空】20:06”。

　　于先生告诉记者，因为短信的内容非常准确，尤其是姓名、航班、班次都没有错，所以他也就没有多想，立即将信息内容转告了女儿。随后，于先生拨打了短信中留下的客服号码。对方告诉于先生如需要改签，要先通过网银付20元工本费，改签成功后再由民航赔付航班延误险补偿200元，接着给了于先生一个收款人的账号和姓名。为了不引起于先生的怀疑，对方还故意与于先生核对了乘机人的身份证号码。因所有信息都正确，于先生就按照对方提供的银行账号把20元钱转了过去。

　　后来，于先生发现，自己账户上不但没有收到200元补偿，反而连28077元余款也没有了。这时于先生才意识到自己被骗了，赶紧打电话到南航进行确认。南航客服工作人员经查询后告诉于先生，他原先的航班并没有取消，更没有出现任何机械故障。于先生立即报警。第二天一早民警和于先生一起到银行冻结了对方的账户，但是钱已经被对方转走了。

　　携程重大安全漏洞曝 光

　　2014年3月，国内互联网漏洞报告平台乌云（wooyun.org）曝 光了携程重大安全漏洞，携程该安全漏洞将致使用户个人信息、银行卡信息泄露。

　　该携程重大安全漏洞导致携程安全支付日志可遍历下载，从而导致大量用户银行卡信息泄露（包含持卡人姓名身-份-证、银-行-卡-号、卡CVV码、6位卡Bin）。此外，携程还被曝携程某分站源代码包可直接下载。

　　根据乌云对携程重大安全漏洞的描述可知，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数居包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

　　乌云技术人员还表示，携程重大安全漏洞涉及的数居仅仅是部分信用卡信息，开通网上支付功能的银行卡和支付宝并不涉及。