携程隐私泄露启示:酒店服务更易出漏洞
2014-03-26
漏洞报告平台乌云网最近连续披露两个携程网安全漏洞,称携程安全支付日志可被任意读取,日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。
携程解释称,安全漏洞是由于技术开发人员为排查系统疑问而留下临时日志,并由于疏忽未及时删除。不过,据知情人士透露,一旦掌握目录遍历,攻击者能超过服务器根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或采取更危险行为。
此次暴露出的“隐私泄露”问题并非携程一个企业存在,7天等连锁酒店去年就被曝出存在系统安全漏洞,导致2000万用户身份证、手机、住址及开房时间等信息遭到泄露。
如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储这些酒店客户的记录,包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。
结果因为某种原因,这些信息是可以被黑客拿到的。漏洞的根源在于慧达驿站公司管理机制的不完善,因为他们的系统要求酒店在提交开放记录的时候进行网页认证,但不是在酒店服务器上,而要通过慧达驿站自己的服务器,理所当然地就存下了客户的信息。
另外,客户信息数据同步是通过http协议实现,需要认证,但是认证用户名、密码是明文传输,各个途径都可能被轻松嗅探到,用这个认证信息可从他们数据服务器上获得所有酒店上传客户开房信息。
一家安全专家就曾以如家为例,指出黑客如何可以利用这些漏洞通过远程入侵渗透方式获取目标服务器权限,并以此盗取用户敏感数据信息。
7天WLAN账号系统截图(腾讯科技配图)
以7天连锁酒店WLAN账号管理系统为例,安全专家对该系统分析过程中,发现该系统应用Structs2框架。而Structs2框架在曾被公布存在严重的远程命令执行和重定向漏洞。
安全专家选择一个URL地址进行Structs2漏洞测试。根据已公布漏洞利用方法,尝试进行远程命令执行漏洞的利用,尝试执行命令whoami,即尝试获取当前用户的用户名信息。
安全专家再构造URL地址。该URL的作用是:如果目标系统存在Structs2远程命令执行漏洞,则系统会执行我们预设的whoami命令,并将命令执行的结果信息反馈给安全专家。
在浏览器中提交该URL信息后,安全专家发现可以获取当前用户名信息,也就证明该系统存在严重的Structs2远程命令执行漏洞。
通过进一步的信息获取,获取到与服务器环境有关的一些信息如下表所示。
在真实的入侵事件中,黑客目标不是获取服务器相关信息,而是获取与用户相关敏感数据信息。安全专家首先就是利用漏洞获取Webshell。关于Structs2框架获取Webshell的方法已经有成熟的利用方式,仅需要通过远程命令执行漏洞写入文件即可实现。
通过Webshell中的文件查看功能,安全专家找到数据库连接信息,并在该信息基础上获取目标数据库中黑客比较感兴趣的数据库表及用户的敏感数据信息。
安全专家指出,通过上述针对7天连锁酒店网络系统安全漏洞分析,在酒店众多网络系统中,如果一个系统存在安全问题,就可能导致与酒店相关用户的敏感数据信息泄露,从而引发公众关于“开房”的恐慌,而这也恰好验证网络安全的木桶原理。
在对其他连锁酒店网络系统的安全分析中,这些酒店网络中几乎都存在这种安全风险,这都将导致用户的敏感数据信息及个人隐私的外泄,对用户的影响和危害及其巨大。
另一位安全专家就对腾讯科技表示,企业,尤其是国内互联网企业,在安全方面投入很少,一般都把精力花费在发展用户上,没人重视信息安全问题,除非出问题后才会想起来。