多家銀行、券商、保險(xiǎn)、基金公司網(wǎng)站被曝存在漏洞

　　金融機(jī)構(gòu)互聯(lián)網(wǎng)漏洞為何頻發(fā)？

　　“剛剛注冊股票賬戶，就接到各種薦股推銷電話。”家住北京市大興區(qū)的周女士既驚訝又氣憤，她的信息怎么這么快就被眾多銷售人員“盯上”？

　　近日，知名漏洞響應(yīng)平臺曝光了多家銀行、券商、保險(xiǎn)、基金公司網(wǎng)站存在漏洞。2015年上半年我國金融機(jī)構(gòu)的互聯(lián)網(wǎng)安全漏洞數(shù)量快速增長，投資者的個人信息、賬號密碼、交易記錄均存在被泄露的風(fēng)險(xiǎn)。

　　用戶核心數(shù)據(jù)漏洞快速增長，銀證?；小爸姓小?/p>

　　記者從“烏云”“補(bǔ)天”等多家漏洞響應(yīng)平臺獲取的數(shù)據(jù)顯示，目前，已被曝出的金融機(jī)構(gòu)網(wǎng)站大小漏洞涉及國聯(lián)證券、中國人保等多家知名金融機(jī)構(gòu)，以及部分中小村鎮(zhèn)銀行、互聯(lián)網(wǎng)P2P平臺，漏洞主要集中在注入漏洞、跨站腳本攻擊、金融APP安全問題等。這些漏洞不少已被金融機(jī)構(gòu)廠商確認(rèn)存在信息泄露等風(fēng)險(xiǎn)。

　　“互聯(lián)網(wǎng)安全問題在保險(xiǎn)業(yè)、銀行業(yè)、證券業(yè)普遍存在?！眹鴥?nèi)最大的漏洞報(bào)告平臺烏云負(fù)責(zé)人說。

　　——數(shù)家商業(yè)銀行“中招”，轉(zhuǎn)賬記錄可能泄露。今年7月以來，就有中國郵政儲蓄銀行、包商銀行在上述響應(yīng)平臺被曝出存在漏洞，目前大多數(shù)漏洞已被金融機(jī)構(gòu)確認(rèn)并修復(fù)。其中一份已修復(fù)的漏洞示例圖中，包商銀行網(wǎng)站某系統(tǒng)漏洞此前可被利用查看部分銀行轉(zhuǎn)賬記錄，包括轉(zhuǎn)賬金額、時間以及持卡人戶名、賬號、電話號碼等信息。

　　——部分證券公司投資者開戶信息遭遇泄露風(fēng)險(xiǎn)。今年6月，國聯(lián)證券在某漏洞相應(yīng)平臺確認(rèn)其系統(tǒng)存在漏洞，可能泄露信息；7月以來，國泰君安證券僅在某響應(yīng)平臺就被曝出多個漏洞，且均已被廠商確認(rèn)修復(fù)，其中一個注入漏洞被修復(fù)前被響應(yīng)平臺標(biāo)明為可能泄露券商預(yù)約開戶人姓名、手機(jī)和郵箱。

　　——一些基金公司、保險(xiǎn)公司交易信息、保單信息可能泄露。“補(bǔ)天”漏洞平臺數(shù)據(jù)顯示，中銀基金此前被曝出某系統(tǒng)漏洞涉及千萬條個人信息，其中包括基金賬號和密碼，另有部分交易記錄遭遇泄露風(fēng)險(xiǎn)。中國人保系統(tǒng)此前還被曝出可未授權(quán)訪問大量保單信息，包括姓名、身份證、學(xué)校等，公司確認(rèn)目前仍在修復(fù)中。

　　據(jù)了解，截至目前，上述金融機(jī)構(gòu)的大部分網(wǎng)站漏洞已被修補(bǔ)，但仍有部分長期未修復(fù)?！敖鹑跈C(jī)構(gòu)網(wǎng)站漏洞造成的危害主要包括能夠非法讀取、篡改、添加、刪除數(shù)據(jù)；私自添加或刪除賬號；注入木馬；盜取用戶賬戶、修改用戶設(shè)置、盜取敏感信息，因此危害相當(dāng)嚴(yán)重?！眹鴥?nèi)最大的漏洞相應(yīng)平臺烏云負(fù)責(zé)人介紹，僅2015年上半年，已被金融機(jī)構(gòu)確認(rèn)、修復(fù)的自身網(wǎng)站安全漏洞的數(shù)量已超過去年同期，其中金融機(jī)構(gòu)網(wǎng)站高危和中危漏洞數(shù)量的總和，已占總體探知漏洞總數(shù)的97.2％。

　　網(wǎng)絡(luò)安全平臺“i春秋”創(chuàng)始人蔡晶晶說，“總體來講，無論保險(xiǎn)、銀行、證券或是新興的互聯(lián)網(wǎng)金融，2015年上半年，網(wǎng)絡(luò)安全漏洞的數(shù)量相比去年同期有較大增長?！?/p>

　　股民信息6毛錢一條，電話推銷機(jī)構(gòu)為主要買家

　　金融機(jī)構(gòu)網(wǎng)站漏洞會給消費(fèi)者帶來怎樣的影響？業(yè)內(nèi)人士指出，部分敏感信息通過金融機(jī)構(gòu)網(wǎng)站漏洞泄露，最直接的影響是導(dǎo)致推銷電話騷擾乃至財(cái)產(chǎn)損失。例如，這些漏洞可能泄露大量用戶數(shù)據(jù)，如郵箱、手機(jī)、銀行賬號等。泄露的信息主要被用于電話銷售、欺詐投資等用途。

　　根據(jù)相關(guān)技術(shù)人員提供的線索，記者通過某即時通訊軟件聯(lián)系到了一家名為“全國股民電話資源”的聊天群，其中有不少“黃?！痹诘官u已泄露的開戶股民個人信息，數(shù)據(jù)報(bào)價(jià)0.6元／條。

　　在一份四川成都籍賣家提供的包含200名開戶股民電話的試用信息中，記者撥打了多個電話，均驗(yàn)證是在當(dāng)?shù)厝涕_戶不久的新客戶。而在部分賣家兜售的客戶信息中，標(biāo)明來源于數(shù)家知名券商機(jī)構(gòu)。一些賣家宣稱，可以“長期專業(yè)從金融機(jī)構(gòu)提取一手優(yōu)質(zhì)投資者號碼”，范圍可以“精準(zhǔn)至各縣區(qū)”，隨時在售的包括銀行VIP、P2P理財(cái)、股民、貴金屬投資者等電話信息，“空號實(shí)時檢測，質(zhì)量絕對有保證，僅僅是QQ群平臺類似我們這樣的銷售群至少還有幾十家”。

　　來自名為“股民電話資源群”的一位QQ賣家告訴記者，股民、儲戶電話信息的購買者主要是電話推銷機(jī)構(gòu)，其中不乏“倫敦金”等地下貴金屬、非法理財(cái)?shù)取伴L期買家”。

　　記者從多位賣家處了解到，通過第三方支付線上付款，個人信息被交易的過程不超過數(shù)分鐘。

　　多方均可能成為漏洞“制造者”

　　國家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局副局長楊春燕表示，當(dāng)前網(wǎng)絡(luò)個人信息泄露現(xiàn)象十分嚴(yán)重，特別是銀行卡等金融敏感信息泄露現(xiàn)象屢次發(fā)生，被一些不法分子利用從事違法犯罪行為，損害用戶利益。對此，國家高度重視，已在加強(qiáng)相關(guān)立法和標(biāo)準(zhǔn)制定，加強(qiáng)管理，出臺部門規(guī)章。同時開展專項(xiàng)打擊，加大宣傳力度。

　　據(jù)介紹，我國法律法規(guī)已明確金融機(jī)構(gòu)等廠商對客戶信息負(fù)有保護(hù)責(zé)任，其網(wǎng)站系統(tǒng)的個人信息保護(hù)建設(shè)須符合國家標(biāo)準(zhǔn)。例如，我國首個個人信息保護(hù)國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》已正式實(shí)施。中國人民銀行也分別于2011年和2012年印發(fā)了《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》和《關(guān)于金融機(jī)構(gòu)進(jìn)一步做好客戶個人金融信息保護(hù)工作的通知》。

　　“然而，一方面，掌握龐大客戶資料和財(cái)務(wù)信息的金融機(jī)構(gòu)在互聯(lián)網(wǎng)開展金融業(yè)務(wù)，其運(yùn)行系統(tǒng)可能遭到黑客等存惡意目的人員的破壞，從中竊取相關(guān)信息。另一方面，銀行的專網(wǎng)內(nèi)網(wǎng)絡(luò)傳輸過程中對于用戶身份的辨別、管理，很可能存在造假或存在識別不夠的問題?！眹倚畔⒅行膶＜椅瘑T會主任寧家駿說。

　　“一些金融機(jī)構(gòu)自身技術(shù)和人為管理不善，是造成金融消費(fèi)者信息泄露的主要原因。”安全漏洞專家、杭州信息技術(shù)有限公司安全咨詢總監(jiān)馮旭杭說。記者了解到，出于節(jié)約成本的要求，目前證券、公募投資基金等金融機(jī)構(gòu)的網(wǎng)上開戶交易系統(tǒng)多數(shù)交由軟件外包商開發(fā)、運(yùn)營，但大多數(shù)軟件外包商對用戶信息安全表示“免責(zé)”，不提供任何信息安全方面的承諾。

　　消費(fèi)者維權(quán)多無門仍待明確責(zé)任

　　中國電子信息產(chǎn)業(yè)發(fā)展研究院副院長樊會文指出，盡管按照全國人大常委會《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，遭遇信息泄漏的個人有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者刪除有關(guān)信息或者采取其他必要措施予以制止。但消費(fèi)者很難通過技術(shù)手段驗(yàn)證泄密源頭的責(zé)任，難以維權(quán)?！耙坏┌l(fā)生資金被挪用，很多時候會出現(xiàn)各方推諉責(zé)任，有關(guān)個人信息隱私保護(hù)的法律法規(guī)尚待完善?！?/p>

　　記者了解到，目前國家網(wǎng)信辦、工信部、公安部等執(zhí)法部門已相繼開展了防范治理黑客地下產(chǎn)業(yè)鏈、打擊治理移動惡意程序等系列專項(xiàng)打擊行動，清除了大量從事黑客攻擊、病毒傳播的惡意IP地址、域名和移動應(yīng)用程序，嚴(yán)厲打擊用戶信息竊取等網(wǎng)絡(luò)犯罪行為。

　　“除了監(jiān)管機(jī)構(gòu)，金融機(jī)構(gòu)也應(yīng)把其互聯(lián)網(wǎng)金融業(yè)務(wù)放在網(wǎng)絡(luò)安全、信息安全的新環(huán)境下考慮。”寧家駿認(rèn)為，一旦發(fā)現(xiàn)風(fēng)險(xiǎn)苗頭，金融機(jī)構(gòu)有責(zé)任及時處理；如果造成重大損害，監(jiān)管部門應(yīng)責(zé)令機(jī)構(gòu)賠償投資者損失。據(jù)新華社