據(jù)中國(guó)之聲《新聞縱橫》報(bào)道,近日,包括烏云、補(bǔ)天等漏洞響應(yīng)平臺(tái)曝光了多家銀行、券商、保險(xiǎn)、基金公司網(wǎng)站存在漏洞。這些漏洞主要集中在跨站腳本攻擊、金融APP安全問(wèn)題等。
這些聽(tīng)起來(lái)不太好懂的專(zhuān)有名詞,對(duì)普通人會(huì)有什么影響呢?簡(jiǎn)單說(shuō),如果不及時(shí)處理漏洞,包括銀行的轉(zhuǎn)賬信息和投資者的個(gè)人信息、賬號(hào)密碼、交易記錄都存在被泄露的風(fēng)險(xiǎn)。用戶錢(qián)袋子的安全如何保障?
在普通人看來(lái),名字、手機(jī)、證件號(hào)碼等信息,都是極隱私的內(nèi)容。但是在一些黑客眼中,卻成了牟利的工具,搜索關(guān)鍵詞,發(fā)現(xiàn)網(wǎng)絡(luò)上不少賣(mài)家出售,一條個(gè)人金融信息,從幾毛錢(qián)到幾十塊錢(qián)不等,幾毛錢(qián)的,手機(jī)號(hào)碼和姓名基本可以匹配,幾十塊錢(qián)的,據(jù)賣(mài)家說(shuō),只要買(mǎi)方的需求不是特別過(guò)分,基本都可以滿足:
賣(mài)家:根據(jù)客戶的需求,讓黑客去做這個(gè)事情,黑客根據(jù)這個(gè)需求,需要什么樣的資料,然后把這些數(shù)據(jù)弄到手。
記者:一些大的證券公司的可以弄到嗎?
賣(mài)家:可以的,就是看你需要多少,看你需要多少,我們可以根據(jù)您的需求去弄。
記者:我們提出的需求都能滿足是吧?
賣(mài)家:都是可以的,只要不是太過(guò)分的。
記者:百萬(wàn)級(jí)別的證券公司也是可以的,是吧?
賣(mài)家:只要價(jià)錢(qián)合適,都是可以的。
烏云網(wǎng)運(yùn)營(yíng)專(zhuān)家孟卓說(shuō),如果目標(biāo)網(wǎng)站存在相關(guān)的漏洞,這位賣(mài)家說(shuō)的情況,是完全有可能出現(xiàn)的。從7月以來(lái),多家漏洞響應(yīng)平臺(tái)曝光了不少銀行、券商、保險(xiǎn)、基金公司網(wǎng)站存在漏洞,2015年中國(guó)互聯(lián)網(wǎng)安全大會(huì)安全專(zhuān)家鮑宇介紹:
鮑宇:在烏云和補(bǔ)天漏洞平臺(tái)上發(fā)現(xiàn)的存在漏洞的平臺(tái),銀行有平安銀行、建設(shè)銀行、有江蘇商業(yè)銀行、包商銀行、葫蘆島銀行等銀行,還有國(guó)泰基金、中銀基金、東方基金、鵬華基金等多個(gè)基金以及光大證券、國(guó)信證券、廣發(fā)證券、國(guó)都證券等,有的金融機(jī)構(gòu)甚至一個(gè)月被白帽子黑客發(fā)現(xiàn)六次漏洞。
盡管各金融機(jī)構(gòu)漏洞表現(xiàn)不完全一致,但其中有不少共性問(wèn)題。
烏云網(wǎng)運(yùn)營(yíng)人員孟卓:首先一家銀行、券商都會(huì)使用一個(gè)網(wǎng)站系統(tǒng),有的可能是自己開(kāi)發(fā)的,有的也可能用的是現(xiàn)成的程序,就是這個(gè)系統(tǒng)就可能存在各種各樣的問(wèn)題,影響用戶的數(shù)據(jù),金融類(lèi)的對(duì)用戶數(shù)據(jù)的記錄是非常詳細(xì)地,比如說(shuō)姓名、住址、聯(lián)系方式,甚至你綁定的銀行卡號(hào),還有它的開(kāi)戶行等等信息,可能會(huì)有泄露的風(fēng)險(xiǎn)。
更具體來(lái)說(shuō),在銀行方面,面臨的風(fēng)險(xiǎn)是轉(zhuǎn)賬記錄可能泄露,比如招商銀行網(wǎng)站的一個(gè)系統(tǒng)漏洞此前可被利用查看部分銀行轉(zhuǎn)賬記錄,包括轉(zhuǎn)賬金額、時(shí)間以及持卡人戶名、賬號(hào)、電話號(hào)碼等信息,目前大多數(shù)銀行系統(tǒng)漏洞已被金融機(jī)構(gòu)確認(rèn)并修復(fù)。
證券公司方面,投資者開(kāi)戶信息遭遇泄露風(fēng)險(xiǎn)。7月以來(lái),國(guó)泰君安證券在烏云網(wǎng)上被曝出多個(gè)漏洞,其中一個(gè)注入漏洞在被修復(fù)前被響應(yīng)平臺(tái)標(biāo)明為可能泄漏券商預(yù)約開(kāi)戶人姓名、手機(jī)和郵箱,目前漏洞也已被廠商確認(rèn)修復(fù)。
在基金公司、保險(xiǎn)公司方面,存在交易信息、保單信息泄露的風(fēng)險(xiǎn)。“補(bǔ)天”漏洞平臺(tái)數(shù)據(jù)顯示,中銀基金此前被曝出某系統(tǒng)漏洞涉及千萬(wàn)條個(gè)人信息,其中包括基金賬號(hào)和密碼,另有部分交易記錄遭遇泄露風(fēng)險(xiǎn)。
中國(guó)人保系統(tǒng)此前還被曝出可未授權(quán)訪問(wèn)大量保單信息,包括姓名、身份證、學(xué)校等,公司確認(rèn)目前仍在修復(fù)中。
多個(gè)漏洞響應(yīng)平臺(tái)的專(zhuān)家都表示,目前,網(wǎng)絡(luò)安全信息的泄露是比較嚴(yán)重的,烏云網(wǎng)運(yùn)營(yíng)人員孟卓說(shuō):安全漏洞,會(huì)隨著時(shí)間和技術(shù)的變化不斷出現(xiàn)新的類(lèi)型。
孟卓:平時(shí)的電腦,windows系統(tǒng),其實(shí)他這種規(guī)模和實(shí)力在全球都是數(shù)一數(shù)二的,我們看到的問(wèn)題是什么,每個(gè)月的周二,他都會(huì)下發(fā)一篇,其實(shí)他是一個(gè)現(xiàn)狀,他這個(gè)產(chǎn)品可以做到理論上的一個(gè)點(diǎn),但他這個(gè)是在不斷地升級(jí),在這個(gè)過(guò)程中難免會(huì)出現(xiàn)新的問(wèn)題,所以安全漏洞也是這樣,所以下一個(gè)版本多一個(gè)新的小功能,所以新的漏洞也隨之產(chǎn)生了。
孟卓表示,要想確保金融系統(tǒng)的安全,一方面需要預(yù)警平臺(tái)及時(shí)的發(fā)現(xiàn)問(wèn)題,另一方面相關(guān)的金融網(wǎng)站需要重視漏洞風(fēng)險(xiǎn),及時(shí)修復(fù)。
孟卓:從現(xiàn)有的報(bào)告來(lái)看他這個(gè)安全級(jí)別或者他這個(gè)安全漏洞級(jí)別還是蠻大的。他這個(gè)漏洞被發(fā)現(xiàn)的話他會(huì)可能很輕易就拿到后面這個(gè)數(shù)據(jù)溝通陳述的用戶的敏感信息,甚至說(shuō)間接影響到網(wǎng)站服務(wù)器的系統(tǒng)呈現(xiàn),更大的影響可能還會(huì)影響到券商或者金融機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)環(huán)境的安全。目前從金融企業(yè)的現(xiàn)狀來(lái)看,很重視這個(gè)問(wèn)題,然后如果發(fā)現(xiàn)了漏洞,又能及時(shí)處理,這是一個(gè)進(jìn)步的現(xiàn)象。