多家銀行、券商、保險、基金公司網站被曝存在漏洞

　　金融機構網際網路漏洞為何頻發？

　　“剛剛註冊股票賬戶，就接到各種薦股推銷電話。”家住北京市大興區的周女士既驚訝又氣憤，她的資訊怎麼這麼快就被眾多銷售人員“盯上”？

　　近日，知名漏洞響應平臺曝光了多家銀行、券商、保險、基金公司網站存在漏洞。2015年上半年我國金融機構的網際網路安全漏洞數量快速增長，投資者的個人資訊、賬號密碼、交易記錄均存在被洩露的風險。

　　用戶核心數據漏洞快速增長，銀證保基均有“中招”

　　記者從“烏雲”“補天”等多家漏洞響應平臺獲取的數據顯示，目前，已被曝出的金融機構網站大小漏洞涉及國聯證券、中國人保等多家知名金融機構，以及部分中小村鎮銀行、網際網路P2P平臺，漏洞主要集中在注入漏洞、跨站腳本攻擊、金融APP安全問題等。這些漏洞不少已被金融機構廠商確認存在資訊洩露等風險。

　　“網際網路安全問題在保險業、銀行業、證券業普遍存在。”國內最大的漏洞報告平臺烏雲負責人説。

　　——數家商業銀行“中招”，轉賬記錄可能洩露。今年7月以來，就有中國郵政儲蓄銀行、包商銀行在上述響應平臺被曝出存在漏洞，目前大多數漏洞已被金融機構確認並修復。其中一份已修復的漏洞示例圖中，包商銀行網站某系統漏洞此前可被利用查看部分銀行轉賬記錄，包括轉賬金額、時間以及持卡人戶名、賬號、電話號碼等資訊。

　　——部分證券公司投資者開戶資訊遭遇洩露風險。今年6月，國聯證券在某漏洞相應平臺確認其系統存在漏洞，可能洩露資訊；7月以來，國泰君安證券僅在某響應平臺就被曝出多個漏洞，且均已被廠商確認修復，其中一個注入漏洞被修復前被響應平臺標明為可能洩露券商預約開戶人姓名、手機和郵箱。

　　——一些基金公司、保險公司交易資訊、保單資訊可能洩露。“補天”漏洞平臺數據顯示，中銀基金此前被曝出某系統漏洞涉及千萬條個人資訊，其中包括基金賬號和密碼，另有部分交易記錄遭遇洩露風險。中國人保系統此前還被曝出可未授權訪問大量保單資訊，包括姓名、身份證、學校等，公司確認目前仍在修復中。

　　據了解，截至目前，上述金融機構的大部分網站漏洞已被修補，但仍有部分長期未修復。“金融機構網站漏洞造成的危害主要包括能夠非法讀取、篡改、添加、刪除數據；私自添加或刪除賬號；注入木馬；盜取用戶賬戶、修改用戶設置、盜取敏感資訊，因此危害相當嚴重。”國內最大的漏洞相應平臺烏雲負責人介紹，僅2015年上半年，已被金融機構確認、修復的自身網站安全漏洞的數量已超過去年同期，其中金融機構網站高危和中危漏洞數量的總和，已佔總體探知漏洞總數的97.2％。

　　網路安全平臺“i春秋”創始人蔡晶晶説，“總體來講，無論保險、銀行、證券或是新興的網際網路金融，2015年上半年，網路安全漏洞的數量相比去年同期有較大增長。”

　　股民資訊6毛錢一條，電話推銷機構為主要買家

　　金融機構網站漏洞會給消費者帶來怎樣的影響？業內人士指出，部分敏感資訊通過金融機構網站漏洞洩露，最直接的影響是導致推銷電話騷擾乃至財産損失。例如，這些漏洞可能洩露大量用戶數據，如郵箱、手機、銀行賬號等。洩露的資訊主要被用於電話銷售、欺詐投資等用途。

　　根據相關技術人員提供的線索，記者通過某即時通訊軟體聯繫到了一家名為“全國股民電話資源”的聊天群，其中有不少“黃牛”在倒賣已洩露的開戶股民個人資訊，數據報價0.6元／條。

　　在一份四川成都籍賣家提供的包含200名開戶股民電話的試用資訊中，記者撥打了多個電話，均驗證是在當地券商開戶不久的新客戶。而在部分賣家兜售的客戶資訊中，標明來源於數家知名券商機構。一些賣家宣稱，可以“長期專業從金融機構提取一手優質投資者號碼”，範圍可以“精準至各縣區”，隨時在售的包括銀行VIP、P2P理財、股民、貴金屬投資者等電話資訊，“空號實時檢測，品質絕對有保證，僅僅是QQ群平臺類似我們這樣的銷售群至少還有幾十家”。

　　來自名為“股民電話資源群”的一位QQ賣家告訴記者，股民、儲戶電話資訊的購買者主要是電話推銷機構，其中不乏“倫敦金”等地下貴金屬、非法理財等“長期買家”。

　　記者從多位賣家處了解到，通過第三方支付線上付款，個人資訊被交易的過程不超過數分鐘。

　　多方均可能成為漏洞“製造者”

　　國家網信辦網路安全協調局副局長楊春燕表示，當前網路個人資訊洩露現象十分嚴重，特別是銀行卡等金融敏感資訊洩露現象屢次發生，被一些不法分子利用從事違法犯罪行為，損害用戶利益。對此，國家高度重視，已在加強相關立法和標準制定，加強管理，出臺部門規章。同時開展專項打擊，加大宣傳力度。

　　據介紹，我國法律法規已明確金融機構等廠商對客戶資訊負有保護責任，其網站系統的個人資訊保護建設須符合國家標準。例如，我國首個個人資訊保護國家標準《資訊安全技術公共及商用服務資訊系統個人資訊保護指南》已正式實施。中國人民銀行也分別於2011年和2012年印發了《關於銀行業金融機構做好個人金融資訊保護工作的通知》和《關於金融機構進一步做好客戶個人金融資訊保護工作的通知》。

　　“然而，一方面，掌握龐大客戶資料和財務資訊的金融機構在網際網路開展金融業務，其運作系統可能遭到駭客等存惡意目的人員的破壞，從中竊取相關資訊。另一方面，銀行的專網內網路傳輸過程中對於用戶身份的辨別、管理，很可能存在造假或存在識別不夠的問題。”國家資訊中心專家委員會主任寧家駿説。

　　“一些金融機構自身技術和人為管理不善，是造成金融消費者資訊洩露的主要原因。”安全漏洞專家、杭州資訊技術有限公司安全諮詢總監馮旭杭説。記者了解到，出於節約成本的要求，目前證券、公募投資基金等金融機構的網上開戶交易系統多數交由軟體外包商開發、運營，但大多數軟體外包商對用戶資訊安全表示“免責”，不提供任何資訊安全方面的承諾。

　　消費者維權多無門仍待明確責任

　　中國電子資訊産業發展研究院副院長樊會文指出，儘管按照全國人大常委會《關於加強網路資訊保護的決定》，遭遇資訊泄漏的個人有權要求網路服務提供者刪除有關資訊或者採取其他必要措施予以制止。但消費者很難通過技術手段驗證泄密源頭的責任，難以維權。“一旦發生資金被挪用，很多時候會出現各方推諉責任，有關個人資訊隱私保護的法律法規尚待完善。”

　　記者了解到，目前國家網信辦、工信部、公安部等執法部門已相繼開展了防範治理駭客地下産業鏈、打擊治理移動惡意程式等系列專項打擊行動，清除了大量從事駭客攻擊、病毒傳播的惡意IP地址、域名和移動應用程式，嚴厲打擊用戶資訊竊取等網路犯罪行為。

　　“除了監管機構，金融機構也應把其網際網路金融業務放在網路安全、資訊安全的新環境下考慮。”寧家駿認為，一旦發現風險苗頭，金融機構有責任及時處理；如果造成重大損害，監管部門應責令機構賠償投資者損失。據新華社