3月22日,漏洞報(bào)告平臺(tái)烏云發(fā)布消息稱,攜程旅行網(wǎng)安全支付日志可遍歷下載,導(dǎo)致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin)。而不少論壇、貼吧和聊天群中也散布著同樣的消息,強(qiáng)烈吸引著獵奇心較重的網(wǎng)民。百度安全中心發(fā)布緊急發(fā)布風(fēng)險(xiǎn)提醒稱,近期,網(wǎng)友不要點(diǎn)擊或接收以“攜程信用卡泄露信息目錄”為名的網(wǎng)站鏈接或文件,因?yàn)槲募蛲茝V鏈接中可能混雜了木馬程序,用戶應(yīng)謹(jǐn)慎訪問。
烏云報(bào)告稱,攜程因?qū)⒂糜谔幚碛脩糁Ц兜姆⻊?wù)接口開啟了調(diào)試功能,使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。同時(shí)因?yàn)楸4嬷Ц度罩镜姆⻊?wù)器未做校嚴(yán)格的基線安全配置,存在目錄遍歷漏洞,導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取。h
此次安全事件帶來的影響雖無法預(yù)測(cè),但此前爆發(fā)的類似事件卻給我們警示。
2013年,國(guó)內(nèi)某些知名快捷酒店開房記錄因網(wǎng)站漏洞被公開,引發(fā)媒體輿論關(guān)注和公眾熱議。不少擔(dān)心隱私泄漏的網(wǎng)民,嘗試著在網(wǎng)上購買或搜索下載“開房記錄”,來查詢自己是否名列其中。被擅于捕捉熱詞的黑客獲知,提前做好掛馬網(wǎng)站,靜候“魚兒”上鉤,造成大量網(wǎng)民被木馬入侵。
此外,在此次事件中“酒店開房記錄”木馬偽裝成專用播放器、BT種子等資源,通過聊天群共享文件、垃圾郵件推送等渠道大規(guī)模傳播,造成安全意識(shí)不夠的用戶中招,電腦淪為黑客的“肉雞”,出現(xiàn)被盜號(hào)或電腦不斷彈出廣告的情況。
目前,百度衛(wèi)士的惡意網(wǎng)址檢測(cè)功能已經(jīng)可以對(duì)網(wǎng)民訪問的網(wǎng)址進(jìn)行安全檢測(cè),當(dāng)發(fā)現(xiàn)有風(fēng)險(xiǎn)網(wǎng)站時(shí),會(huì)彈窗攔截告知用戶。如用戶對(duì)未知的網(wǎng)站要進(jìn)行訪問時(shí),也可以通過該功能對(duì)網(wǎng)址進(jìn)行風(fēng)險(xiǎn)檢測(cè)。此外,百度殺毒也可對(duì)下載、傳輸文件進(jìn)行實(shí)時(shí)安全監(jiān)測(cè)。
百度安全專家提醒稱,當(dāng)發(fā)生重大安全事件后,網(wǎng)民在下載資源時(shí)更應(yīng)注意識(shí)別文件后綴,運(yùn)行陌生網(wǎng)站要防止網(wǎng)站被掛馬,不要輕易運(yùn)行陌生網(wǎng)站上的可執(zhí)行程序。同時(shí),網(wǎng)民應(yīng)注意開啟百度衛(wèi)士、百度殺毒等安全軟件,幫助攔截偽裝熱門資源的欺詐網(wǎng)站和木馬病毒。
獲取更多上網(wǎng)安全保障,請(qǐng)登錄anquan.baidu.com