金融機構網際網路安全漏洞頻現
- 發佈時間:2015-09-08 11:36:31 來源:中華工商時報 責任編輯:羅伯特
近日,知名漏洞響應平臺曝光了多家銀行、券商、保險、基金公司網站存在漏洞。2015年上半年我國金融機構的網際網路安全漏洞數量快速增長,投資者的個人資訊、賬號密碼、交易記錄均存在被洩露的風險。
銀證保基均有“中招”
記者從“烏雲”“補天”等多家漏洞響應平臺獲取的數據顯示,目前,已被曝出的金融機構網站大小漏洞涉及國聯證券、中國人保等多家知名金融機構,以及部分中小村鎮銀行、網際網路P2P平臺,漏洞主要集中在注入漏洞、跨站腳本攻擊、金融APP安全問題等。這些漏洞不少已被金融機構廠商確認存在資訊洩露等風險。
“網際網路安全問題在保險業、銀行業、證券業普遍存在。”國內最大的漏洞報告平臺烏雲負責人説。
——數家商業銀行“中招”,轉賬記錄可能洩露。今年7月以來,就有中國郵政儲蓄銀行、包商銀行在上述響應平臺被曝出存在漏洞,目前大多數漏洞已被金融機構確認並修復。
——部分證券公司投資者開戶資訊遭遇洩露風險。7月以來,國泰君安證券僅在某響應平臺就被曝出多個漏洞,且均已被廠商確認修復,其中一個注入漏洞被修復前被響應平臺標明為可能泄漏券商預約開戶人姓名、手機和郵箱。
——一些基金公司、保險公司交易資訊、保單資訊可能洩露。“補天”漏洞平臺數據顯示,中銀基金此前被曝出某系統漏洞涉及千萬條個人資訊,其中包括基金賬號和密碼,另有部分交易記錄遭遇洩露風險。
國內最大的漏洞相應平臺烏雲負責人介紹,僅2015年上半年,已被金融機構確認、修復的自身網站安全漏洞的數量已超過去年同期,其中金融機構網站高危和中危漏洞數量的總和,已佔總體探知漏洞總數的97.2%。
網路安全平臺“i春秋”創始人蔡晶晶説,“總體來講,無論保險、銀行、證券或是新興的網際網路金融,2015年上半年,網路安全漏洞的數量相比去年同期有較大增長。”
股民資訊6毛錢一條
金融機構網站漏洞會給消費者帶來怎樣的影響?業內人士指出,部分敏感資訊通過金融機構網站漏洞洩露,最直接的影響是導致推銷電話騷擾乃至財産損失。
根據相關技術人員提供的線索,記者通過某即時通訊軟體聯繫到了一家名為“全國股民電話資源”的聊天群,其中有不少“黃牛”在倒賣已洩露的開戶股民個人資訊,數據報價0.6元/條。
來自名為“股民電話資源群”的一位QQ賣家告訴記者,股民、儲戶電話資訊的購買者主要是電話推銷機構,其中不乏“倫敦金”等地下貴金屬、非法理財等“長期買家”。記者從多位賣家處了解到,通過第三方支付線上付款,個人資訊被交易的過程不超過數分鐘。
維權多無門仍待明確責任
國家網信辦網路安全協調局副局長楊春燕表示,當前網路個人資訊泄漏現象十分嚴重,特別是銀行卡等金融敏感資訊泄漏現象屢次發生,被一些不法分子利用從事違法犯罪行為,損害用戶利益。對此,國家高度重視,已在加強相關立法和標準制定,加強管理,出臺部門規章。同時開展專項打擊,加大宣傳力度。
據介紹,我國法律法規已明確金融機構等廠商對客戶資訊負有保護責任,其網站系統的個人資訊保護建設須符合國家標準。例如,我國首個個人資訊保護國家標準《資訊安全技術公共及商用服務資訊系統個人資訊保護指南》已正式實施。中國人民銀行也分別於2011年和2012年印發了《關於銀行業金融機構做好個人金融資訊保護工作的通知》和《關於金融機構進一步做好客戶個人金融資訊保護工作的通知》。
記者了解到,出於節約成本的要求,目前證券、公募投資基金等金融機構的網上開戶交易系統多數交由軟體外包商開發、運營,但大多數軟體外包商對用戶資訊安全表示“免責”,不提供任何資訊安全方面的承諾。
中國電子資訊産業發展研究院副院長樊會文指出,儘管按照全國人大常委會《關於加強網路資訊保護的決定》,遭遇資訊泄漏的個人有權要求網路服務提供者刪除有關資訊或者採取其他必要措施予以制止。但消費者很難通過技術手段驗證泄密源頭的責任,難以維權。“一旦發生資金被挪用,很多時候會出現各方推諉責任,有關個人資訊隱私保護的法律法規尚待完善。”
記者了解到,目前國家網信辦、工信部、公安部等執法部門已相繼開展了防範治理駭客地下産業鏈、打擊治理移動惡意程式等系列專項打擊行動,清除了大量從事駭客攻擊、病毒傳播的惡意IP地址、域名和移動應用程式,嚴厲打擊用戶資訊竊取等網路犯罪行為。
“除了監管機構,金融機構也應把其網際網路金融業務放在網路安全、資訊安全的新環境下考慮。”國家資訊中心專家委員會主任寧家駿認為,一旦發現風險苗頭,金融機構有責任及時處理;如果造成重大損害,監管部門應責令機構賠償投資者損失。
- 股票名稱 最新價 漲跌幅