新聞源 財富源

2024年12月23日 星期一

60萬用戶資訊遭洩露?銅掌櫃:漏洞早已修復

  • 發佈時間:2015-12-21 07:15:00  來源:中國經濟網  作者:施娜  責任編輯:田燕

  近日有消息稱,浙江一網際網路金融平臺銅掌櫃存在系統安全問題,導致平臺60萬用戶大量敏感資訊洩露。

  對此,銅掌櫃首席資訊官金少策昨日(12月20日)在接受《每日經濟新聞》記者採訪時表示,經與技術部門核實,該漏洞于12月1日由“白帽子”發現並提交到某漏洞響應平臺,並在12月9日進行了修復,期間並未出現任何用戶資訊被洩露。

  記者注意到,近年來因網站漏洞造成數據洩露的事件不少,如此前的12306網站用戶隱私資訊洩露、30省市社保資訊洩露等,由漏洞而引發的安全事件不僅給用戶帶來煩惱,也給相關企業造成了直接或者間接的經濟損失,嚴重影響了企業和行業形象。

  網路安全專家、北京白帽匯科技有限公司CEO趙武在接受《每日經濟新聞》採訪時表示,目前國內網站存在安全漏洞是普遍現象,很多領域都存在,希望相關政府部門和公司能夠引起足夠重視。

  公司:平臺數據有保障

  據了解,上述漏洞響應平臺對漏洞的定義分為通用漏洞與事件漏洞兩種。其中,事件漏洞(即非通用型漏洞),主要是指網際網路上應用的一個具體漏洞,例如,某網站命令執行可被滲透、某網站應用SQL注入可導致資訊洩露等。

  此次銅掌櫃的系統漏洞為事件型。根據上述響應平臺資訊顯示,12月1日,銅掌櫃漏洞打包可能洩露用戶資訊被“白帽子”提交發佈到平臺,官方評級為高危;12月14日,國家網際網路應急響應中心回復稱確認漏洞,危害等級為中等。

  “此前,我們已經完成了修復,但忽略了在響應平臺上的確認。近日,我們已正式向該漏洞響應平臺確認回復”,金少策表示,“目前銅掌櫃數據安全與阿裏雲合作,平臺數據安全由阿裏雲提供保障。”

  “通用型、事件型;低危漏洞、中危漏洞、高危漏洞,這些是在技術上對漏洞的劃分。很多駭客在利用這些漏洞的過程,可能是一個,也可能是多個漏洞結合。最終駭客的目的很簡單,就是偷數據。”趙武説,比如你購買了一個P2P理財産品,網站系統存在漏洞,駭客就有可能能入侵你的賬戶,即使無法把你的錢轉走,但是可以把你的身份證號、手機號等資訊拿走,然後去做一些詐騙之類的行為。

  行業安全建設待加強

  “目前,國內網站存在安全漏洞是極其普遍的現象。只要你存在漏洞,就很可能已經被地下産業的駭客利用了。”趙武分析表示。

  根據中國網際網路協會和國家網際網路應急中心發佈的《中國網際網路站發展狀況及其安全報告(2014)》內容顯示,2013 年,網際網路駭客地下産業仍然較為活躍。駭客地下産業的逐利性特點日趨明顯,以網路欺詐、訛詐為代表的拒絕服務以及倣冒網站是駭客重要的得利渠道。資訊系統漏洞特別是高危漏洞呈現逐年遞增趨勢,這給駭客發起大規模網路攻擊或針對重要價值目標發起攻擊提供了便利條件。

  趙武表示,隨著國家“網際網路+”戰略的提出,很多網際網路金融公司雨後春筍般涌現。這些公司在發展過程中,除了關注用戶規模、成交量規模的發展外,也應加強資訊安全建設。比如,成立資訊安全部門、積極和行業內的安全資訊公司建立聯繫、對於行業內發生的數據洩露事件,積極採取補救措施等手段,從多方面去築起一道資訊安全的“籬笆”。

熱圖一覽

  • 股票名稱 最新價 漲跌幅