金融機構互聯(lián)網漏洞為何頻發(fā)���?
“剛剛注冊股票賬戶,就接到各種薦股推銷電話�。”家住北京市大興區(qū)的周女士既驚訝又氣憤��,她的信息怎么這么快就被眾多銷售人員“盯上”�?
近日,知名漏洞響應平臺曝光了多家銀行�、券商、保險���、基金公司網站存在漏洞��。2015年上半年我國金融機構的互聯(lián)網安全漏洞數量快速增長����,投資者的個人信息、賬號密碼����、交易記錄均存在被泄露的風險。
用戶核心數據漏洞快速增長���,銀證����;小爸姓小
記者從“烏云”“補天”等多家漏洞響應平臺獲取的數據顯示�,目前,已被曝出的金融機構網站大小漏洞涉及國聯(lián)證券�����、中國人保等多家知名金融機構��,以及部分中小村鎮(zhèn)銀行�、互聯(lián)網P2P平臺�,漏洞主要集中在注入漏洞、跨站腳本攻擊�、金融APP安全問題等���。這些漏洞不少已被金融機構廠商確認存在信息泄露等風險。
“互聯(lián)網安全問題在保險業(yè)���、銀行業(yè)�����、證券業(yè)普遍存在����������!眹鴥茸畲蟮穆┒磮蟾嫫脚_烏云負責人說��。
�。瓟导疑虡I(yè)銀行“中招”�����,轉賬記錄可能泄露。今年7月以來���,就有中國郵政儲蓄銀行�����、包商銀行在上述響應平臺被曝出存在漏洞�,目前大多數漏洞已被金融機構確認并修復����。其中一份已修復的漏洞示例圖中,包商銀行網站某系統(tǒng)漏洞此前可被利用查看部分銀行轉賬記錄�,包括轉賬金額、時間以及持卡人戶名���、賬號�����、電話號碼等信息�����。
�����。糠肿C券公司投資者開戶信息遭遇泄露風險�����。今年6月����,國聯(lián)證券在某漏洞相應平臺確認其系統(tǒng)存在漏洞�,可能泄漏信息;7月以來�����,國泰君安證券僅在某響應平臺就被曝出多個漏洞���,且均已被廠商確認修復�,其中一個注入漏洞被修復前被響應平臺標明為可能泄漏券商預約開戶人姓名����、手機和郵箱。
��。恍┗鸸尽⒈kU公司交易信息��、保單信息可能泄露�。“補天”漏洞平臺數據顯示�����,中銀基金此前被曝出某系統(tǒng)漏洞涉及千萬條個人信息�����,其中包括基金賬號和密碼���,另有部分交易記錄遭遇泄露風險�����。中國人保系統(tǒng)此前還被曝出可未授權訪問大量保單信息���,包括姓名、身份證����、學校等�,公司確認目前仍在修復中���。
據了解����,截至目前�����,上述金融機構的大部分網站漏洞已被修補��,但仍有部分長期未修復���。“金融機構網站漏洞造成的危害主要包括能夠非法讀取����、篡改、添加���、刪除數據����;私自添加或刪除賬號;注入木馬�;盜取用戶賬戶、修改用戶設置��、盜取敏感信息�����,因此危害相當嚴重������!眹鴥茸畲蟮穆┒聪鄳脚_烏云負責人介紹,僅2015年上半年�,已被金融機構確認、修復的自身網站安全漏洞的數量已超過去年同期����,其中金融機構網站高危和中危漏洞數量的總和,已占總體探知漏洞總數的97.2%��。
網絡安全平臺“i春秋”創(chuàng)始人蔡晶晶說����,“總體來講���,無論保險、銀行����、證券或是新興的互聯(lián)網金融,2015年上半年�,網絡安全漏洞的數量相比去年同期有較大增長��������!
股民信息6毛錢一條�����,電話推銷機構為主要買家
金融機構網站漏洞會給消費者帶來怎樣的影響����?業(yè)內人士指出�����,部分敏感信息通過金融機構網站漏洞泄露,最直接的影響是導致推銷電話騷擾乃至財產損失���。例如�����,這些漏洞可能泄露大量用戶數據����,如郵箱��、手機���、銀行賬號等��。泄露的信息主要被用于電話銷售��、欺詐投資等用途���。
根據相關技術人員提供的線索,記者通過某即時通訊軟件聯(lián)系到了一家名為“全國股民電話資源”的聊天群�,其中有不少“黃牛”在倒賣已泄露的開戶股民個人信息,數據報價0.6元/條��。
在一份四川成都籍賣家提供的包含200名開戶股民電話的試用信息中��,記者撥打了多個電話�,均驗證是在當地券商開戶不久的新客戶。而在部分賣家兜售的客戶信息中���,標明來源于數家知名券商機構����。一些賣家宣稱���,可以“長期專業(yè)從金融機構提取一手優(yōu)質投資者號碼”,范圍可以“精準至各縣區(qū)”�,隨時在售的包括銀行VIP、P2P理財�����、股民����、貴金屬投資者等電話信息,“空號實時檢測,質量絕對有保證��,僅僅是QQ群平臺類似我們這樣的銷售群至少還有幾十家”����。
來自名為“股民電話資源群”的一位QQ賣家告訴記者,股民����、儲戶電話信息的購買者主要是電話推銷機構,其中不乏“倫敦金”等地下貴金屬����、非法理財等“長期買家”。
記者從多位賣家處了解到��,通過第三方支付線上付款�����,個人信息被交易的過程不超過數分鐘����。
多方均可能成為漏洞“制造者”,維權多無門仍待明確責任
國家網信辦網絡安全協(xié)調局副局長楊春燕表示�����,當前網絡個人信息泄漏現(xiàn)象十分嚴重,特別是銀行卡等金融敏感信息泄漏現(xiàn)象屢次發(fā)生�,被一些不法分子利用從事違法犯罪行為,損害用戶利益��。對此����,國家高度重視,已在加強相關立法和標準制定����,加強管理,出臺部門規(guī)章��。同時開展專項打擊����,加大宣傳力度�。
據介紹,我國法律法規(guī)已明確金融機構等廠商對客戶信息負有保護責任����,其網站系統(tǒng)的個人信息保護建設須符合國家標準。例如,我國首個個人信息保護國家標準《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》已正式實施����。中國人民銀行也分別于2011年和2012年印發(fā)了《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》和《關于金融機構進一步做好客戶個人金融信息保護工作的通知》。
“然而���,一方面��,掌握龐大客戶資料和財務信息的金融機構在互聯(lián)網開展金融業(yè)務�,其運行系統(tǒng)可能遭到黑客等存惡意目的人員的破壞���,從中竊取相關信息���。另一方面,銀行的專網內網絡傳輸過程中對于用戶身份的辨別�、管理,很可能存在造假或存在識別不夠的問題�������!眹倚畔⒅行膶<椅瘑T會主任寧家駿說��。
“一些金融機構自身技術和人為管理不善,是造成金融消費者信息泄露的主要原因�。”安全漏洞專家�、杭州信息技術有限公司安全咨詢總監(jiān)馮旭杭說。記者了解到����,出于節(jié)約成本的要求,目前證券��、公募投資基金等金融機構的網上開戶交易系統(tǒng)多數交由軟件外包商開發(fā)�、運營,但大多數軟件外包商對用戶信息安全表示“免責”����,不提供任何信息安全方面的承諾。
中國電子信息產業(yè)發(fā)展研究院副院長樊會文指出�����,盡管按照全國人大常委會《關于加強網絡信息保護的決定》�����,遭遇信息泄漏的個人有權要求網絡服務提供者刪除有關信息或者采取其他必要措施予以制止����。但消費者很難通過技術手段驗證泄密源頭的責任,難以維權�����!耙坏┌l(fā)生資金被挪用����,很多時候會出現(xiàn)各方推諉責任�����,有關個人信息隱私保護的法律法規(guī)尚待完善����。”
記者了解到����,目前國家網信辦、工信部���、公安部等執(zhí)法部門已相繼開展了防范治理黑客地下產業(yè)鏈�、打擊治理移動惡意程序等系列專項打擊行動,清除了大量從事黑客攻擊�、病毒傳播的惡意IP地址、域名和移動應用程序��,嚴厲打擊用戶信息竊取等網絡犯罪行為�����。
“除了監(jiān)管機構�,金融機構也應把其互聯(lián)網金融業(yè)務放在網絡安全、信息安全的新環(huán)境下考慮�。”寧家駿認為��,一旦發(fā)現(xiàn)風險苗頭�����,金融機構有責任及時處理���;如果造成重大損害����,監(jiān)管部門應責令機構賠償投資者損失����。(新華社“新華視點”記者杜放、楊毅沉����、張翅)
說兩句
