經濟觀察網 綜合報道 網易科技消息，3月22日消息，烏云平臺連續披露了兩個攜程網安全漏洞，漏洞發現者稱由于攜程開啟了用戶支付服務借口的調試功能，導致攜程安全支付日志可被任意還可讀取，日志可以泄露包括持卡人姓名、身份證、銀行卡類別、銀行卡號、CVV碼等信息。

烏云網站截圖

漏洞提交者稱，攜程將用于處理用戶支付的服務接口開啟了調試功能，使所有向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務器。同時因為保存支付日志的服務器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意駭客讀取。

安全日志包含的信息包括：持卡人姓名、持卡人身份證、所持銀行卡類別（比如，招商銀行信用卡、中國銀行信用卡）、所持銀行卡卡號、所持銀行卡CVV碼以及所持銀行卡6位Bin(用于支付的6位數字)。

烏云漏洞平臺將這一漏洞危害等級標注為高，并已通知廠商，目前狀態為等待廠商處理中。

同時被曝光的另一漏洞顯示，攜程某分站源代碼包可直接下載(涉及數據庫配置和支付接口信息)，目前該漏洞也已被烏云平臺確認。