技术:携程漏洞曝光之后：对话当事白帽黑客

本篇文章2370字，读完约6分钟

月22日，根据在web安全问题反馈平台乌云( wooyun )上披露的编号54302的漏洞报告，手机流程的漏洞直接引起了大量顾客的银行卡新闻泄露和被盗刷等问题 [详细][评论]
采录:孟鸿:侯智勇杨亮

这个消息很快通过媒体的很多媒体转载，关注度超过了后来明确的另一条信息“法道总部服务器入侵了美国安全局”，甚至超过了至今为止的暴露点也看起来很严重的脆弱性。

遍历通常是沿着一条搜索路径一次访问树中的每个节点一次。 指出这种被分类为“机密新闻泄露”的脆弱性可能会导致大量携带者的持卡人姓名、身份证、银行卡号码、卡cvv代码、6位数卡bin等新闻泄露。

根据乌云平台上编号54204的漏洞报告，腾讯客户端的某个默认安装空间存在严重的安全缺陷，黑客可以远程获得任何朋友的clientkey。 另一个漏洞是绕过腾讯单点登录系统的ip访问限制，登录qq空间、qq专辑、qq邮箱、腾讯微博等朋友的全线qq业务系统。 很明显这里面隐藏着更大的隐私风险。

遍历通常是沿着一条搜索路径一次访问树中的每个节点一次。 这种被分类为“机密新闻泄露”的脆弱性意味着有可能导致持卡人姓名、身份证、银行卡号码、银行卡cvv代码、6位卡bin等很多携带者的新闻曝光。

根据手机官方的说明，技术开发者为了排除系统的疑问，留下了临时的日志，不小心没有马上删除。 但是，mediav企业的cto胡宁在微博上说:“数据传输是明文，在线上长期启用调试功能，所以系统日志也是明文，没有及时清理，保存的服务器上有安全漏洞。

有手机的同事对新浪科技说，手机在无线方面不是非常安全的方法。 这样的方法对客户的操作很有用，但有安全风险。 手机内部的人对新浪科技说，这是“事故”的安全事故，手机并不是有意留下顾客的关联状况，发生这样的问题手机内部也无法理解。

客户不能理解。 这次泄露的消息意味着顾客银行卡的大部分消息都有曝光风险，如果有这些消息，信用卡可能会被盗而成为简单的事件。

面对最大的风险来自最近在手机无线方面做过交易行为的客户。 手机课程没有公布漏洞存在的时间和范围，所以规避风险的最好方法是马上联系银行换卡。

根据招商银行信用卡的顾客服务，这几天很多顾客已经就手机漏洞进行了电话咨询，其中大部分已经立即注销了原来的信用卡，采取了另外开通新卡的避险措施。 已经是

都是cccc或c略微这个吗？ 是吗？ 是吗？ 是吗？ 是这里吗？ ？ 是吗？ 是

也

中国也是

所有的东西

等等，信用卡信用卡，信用卡，信用卡，因为稍微有点点的容易，因为是稍微的东西，因为信用卡，因为信用卡，所以。

只是这次没用只是这次这次没用这次没用没用没用没用没用没用没用没用没用没用没用没用

白薯

也许吧

特别是，没什么，没什么，没什么，没什么，没什么，没什么，官方公式公式公式公式公式公式公式公式公式公式“密码数999999999999。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 有点儿

只是2但是，和最近做手机交易的其他顾客一样，他们对个人新闻的安全性表示了深刻的担忧，对手机旅行的信任感也降低到了最低限度。

事实上，许多新浪科技联系过的手机客户都采取了交换卡的解决办法。

幸运的是，迄今尚未公开的消息表明手机客户因这一漏洞而遭受了损失。 坏消息是，手机消息泄露的情况可能更早就受害了。

广西壮族自治区客户严茂军就是一个例子。 根据这个手机钻石会员的说明，今年2月25日清晨，他的手机上陆续出现了多个信用卡使用的邮件提示。 有的用美元结算，有的用英镑结算，有的用欧元结算，这些扣除额共计不到两万元。

多次追究后，严茂军把嫌疑犯锁定在手机跑道上。 根据他的说明，只有与手机套餐账号关联的三张信用卡在2月25日偷过外汇，其他三张信用卡平安无事。 但是严茂军提出的疑问没有其他更严密的证据，不太容易承认这一点。

“我是这几家银行的白金顾客，有72小时的赔偿金。 如果我的责任不被偷，我就不用自己付了。 白金保险将承担”，新浪科技情报的表现时，严茂军说银行的安全漏洞可能会成为银行的借口，他担心一旦发生问题，白金以外的顾客会自己承担损失。

某银领域的人也对新浪科技说，即使出现盗刷也不容易追究责任。

网络上关于黑客和黑客背后的暴利生意的报道多年来有很多媒体转载。 国内外黑客相关的新闻盗窃事件也相继发生，例如去年12月中国最大的程序员网站csdn遭遇黑客攻击，通报600万顾客新闻泄露。 去年12月，美国第三大零售商target的4000万客户信用卡数据被盗。

有名的网络新闻安全专家sunwear在新浪微博上，黑客圈作为信用卡产业成熟，欧美台湾日等是黑客的目标，很多网站保存信用卡卡号、cvv、有效期等新闻，

他还放出了一个黑客在荷兰服务器上的新闻截图。 “这里的信用卡资料来自中东某航空企业和几个台湾网站，总量在700万张左右，以黑客圈的价格一张欧洲卡就可以做几百张。 你们想自己获利啊。 但是我看到的时候，数据已经放在那一年了，早就洗了”。

为什么不只是说说而已？

只是这次还没有这次还没有，没用，没用，没用。

桃子

关于手机课程声称提供奖励，猪侠客说他也不是认真的。 实际上，手机漏洞受到关注的程度并不出乎猪侠的意料。 他事后总结说，可能是因为这个洞直接与钱有关。

“真正应该点燃的是这个洞”猪侠客给新浪科技提供了链接。

那是3月21日14点10分在乌云平台上各发表的54204号漏洞报告。 根据该报告，腾讯客户端的某个默认安装空间存在严重的安全缺陷，黑客通过组合可以远程获得任何朋友的clientkey的另一个漏洞，进行腾讯单点登录 包括qq空间、qq专辑、qq邮箱、腾讯微博等。 很明显，这中间隐藏着更大的隐私风险，直到断稿时，新浪科学技术还没有对应这个咨询腾讯。