食品安全測試企業(yè)Tellspec公司CTO兼前銀行軟件開發(fā)者杰森·科爾斯表示，他們在偶然之間發(fā)現(xiàn)由位于印度加爾各答的軟件開發(fā)商Tata公司的員工在公共GitHub代碼庫當(dāng)中上傳大量涉及金融機(jī)構(gòu)的源代碼與內(nèi)部文件。在歸檔文件當(dāng)中，他們發(fā)現(xiàn)了開發(fā)筆記、原始源代碼、Web銀行代碼開發(fā)規(guī)劃內(nèi)部報告以及與各外包合作伙伴間的往來通話記錄。

這些文件所涉及的源代碼與六家大型加拿大銀行、兩家著名美國金融機(jī)構(gòu)、一家跨國銀行以及一家市值達(dá)數(shù)十億美元的金融軟件廠商有關(guān)。利用這些數(shù)據(jù)，正在著手開發(fā)類似功能的競爭企業(yè)以及可能利用設(shè)計中安全漏洞竊取數(shù)百萬用戶個人信息的網(wǎng)絡(luò)犯罪分子將獲得顯著的提示與收益。

科爾斯在上周接受采訪時指出，“好消息是，其中并不包括任何銀行客戶數(shù)據(jù)，文件內(nèi)容以輔助數(shù)據(jù)為主。不過其中仍然存在大量可被利用的素材——除了黑客群體之外，各相關(guān)企業(yè)的競爭對手還可借此把握前者的運營動態(tài)與思路，這無疑是一次巨大的常識性失誤。”

這些信息足以引發(fā)嚴(yán)重的后續(xù)影響……出于安全考慮，我們對所泄露的部分?jǐn)?shù)據(jù)的截圖進(jìn)行了編輯。

在泄露問題警告發(fā)布之后，各受影響企業(yè)本應(yīng)快速作出反應(yīng)——然而根據(jù)實際情況來看，事實并非如此。目前于加拿大多倫多工作的科爾斯表示，他親自前往各涉事加拿大銀行發(fā)出提醒，但對方卻選擇坐視不理。

相比之下，美國各金融機(jī)構(gòu)的態(tài)度則非常積極，據(jù)稱其已經(jīng)立即對此采取應(yīng)對措施。GitHub短時間內(nèi)即將這批文件進(jìn)行了刪除。Tata公司并沒有回應(yīng)記者提出的評論請求。截至目前，出于安全考慮，受影響客戶的具體名稱已經(jīng)被納入保密范疇。

科爾斯在采訪當(dāng)中強調(diào)稱，他個人對于加拿大各銀行的頑固態(tài)度并不意外，事實上他多年來一直在發(fā)出類似的安全風(fēng)險提醒，但情況并未出現(xiàn)什么顯著改善。

科爾斯表示，加拿大與美國在文化層面存在著巨大差異。加拿大人并不希望為安全信息付費，而他本人當(dāng)然也不可能以免費方式提供自己的勞動成果。而在美國，科爾斯已經(jīng)在前往多倫多的同一天在飛機(jī)上與多家公司進(jìn)行了遠(yuǎn)程會談，他們樂于購買科爾斯的發(fā)現(xiàn)并在當(dāng)天晚上進(jìn)一步就問題進(jìn)行了討論。

科爾斯曾針對加拿大銀行軟件出版過一本名為《我的人沒出錯，我的企業(yè)沒問題！》的論著，他表示研究結(jié)果顯示每二十五家加拿大銀行當(dāng)中，就有九家面臨著釣魚攻擊風(fēng)險。

他表示，銀行應(yīng)用“會暴露大量數(shù)據(jù)——每一項交易會在瀏覽器上產(chǎn)生40 MB相關(guān)信息”。然而，絕大多數(shù)手機(jī)銀行應(yīng)用都沒能付出足夠的努力以保護(hù)其通信內(nèi)容。

法裔商業(yè)金融房屋置業(yè)銀行Scotiabank正是科爾斯提到的典型目標(biāo)之一。根據(jù)我們得到的消息，該銀行的應(yīng)用并非始終利用HTTPS進(jìn)行網(wǎng)絡(luò)連接。

他總結(jié)稱，“目前至少有上百萬用戶在使用不安全的銀行應(yīng)用，因此導(dǎo)致嚴(yán)重后果恐怕將只是時間問題。這樣的狀況令人憂心：如果再不加以重視，那么最終他們連哭都來不及。”