金融機構互聯網漏洞頻發 業內：漏洞伴隨系統更新產生

　　央廣網北京9月9日消息（記者周益帆）據中國之聲《新聞縱橫》報道，近日，包括烏云、補天等漏洞響應平臺曝光了多家銀行、券商、保險、基金公司網站存在漏洞。這些漏洞主要集中在跨站腳本攻擊、金融APP安全問題等。

　　這些聽起來不太好懂的專有名詞，對普通人會有什么影響呢？簡單說，如果不及時處理漏洞，包括銀行的轉賬信息和投資者的個人信息、賬號密碼、交易記錄都存在被泄露的風險。用戶錢袋子的安全如何保障？

　　在普通人看來，名字、手機、證件號碼等信息，都是極隱私的內容。但是在一些黑客眼中，卻成了牟利的工具，搜索關鍵詞，發現網絡上不少賣家出售，一條個人金融信息，從幾毛錢到幾十塊錢不等，幾毛錢的，手機號碼和姓名基本可以匹配，幾十塊錢的，據賣家說，只要買方的需求不是特別過分，基本都可以滿足：

　　賣家：根據客戶的需求，讓黑客去做這個事情，黑客根據這個需求，需要什么樣的資料，然后把這些數據弄到手。

　　記者：一些大的證券公司的可以弄到嗎？

　　賣家：可以的，就是看你需要多少，看你需要多少，我們可以根據您的需求去弄。

　　記者：我們提出的需求都能滿足是吧？

　　賣家：都是可以的，只要不是太過分的。

　　記者：百萬級別的證券公司也是可以的，是吧？

　　賣家：只要價錢合適，都是可以的。

　　烏云網運營專家孟卓說，如果目標網站存在相關的漏洞，這位賣家說的情況，是完全有可能出現的。從7月以來，多家漏洞響應平臺曝光了不少銀行、券商、保險、基金公司網站存在漏洞，2015年中國互聯網安全大會安全專家鮑宇介紹：

　　鮑宇：在烏云和補天漏洞平臺上發現的存在漏洞的平臺，銀行有平安銀行、建設銀行、有江蘇商業銀行、包商銀行、葫蘆島銀行等銀行，還有國泰基金、中銀基金、東方基金、鵬華基金等多個基金以及光大證券、國信證券、廣發證券、國都證券等，有的金融機構甚至一個月被白帽子黑客發現六次漏洞。

　　盡管各金融機構漏洞表現不完全一致，但其中有不少共性問題。

　　烏云網運營人員孟卓：首先一家銀行、券商都會使用一個網站系統，有的可能是自己開發的，有的也可能用的是現成的程序，就是這個系統就可能存在各種各樣的問題，影響用戶的數據，金融類的對用戶數據的記錄是非常詳細地，比如說姓名、住址、聯系方式，甚至你綁定的銀行卡號，還有它的開戶行等等信息，可能會有泄露的風險。

　　更具體來說，在銀行方面，面臨的風險是轉賬記錄可能泄露，比如招商銀行網站的一個系統漏洞此前可被利用查看部分銀行轉賬記錄，包括轉賬金額、時間以及持卡人戶名、賬號、電話號碼等信息，目前大多數銀行系統漏洞已被金融機構確認并修復。

　　證券公司方面，投資者開戶信息遭遇泄露風險。7月以來，國泰君安證券在烏云網上被曝出多個漏洞，其中一個注入漏洞在被修復前被響應平臺標明為可能泄漏券商預約開戶人姓名、手機和郵箱，目前漏洞也已被廠商確認修復。

　　在基金公司、保險公司方面，存在交易信息、保單信息泄露的風險。“補天”漏洞平臺數據顯示，中銀基金此前被曝出某系統漏洞涉及千萬條個人信息，其中包括基金賬號和密碼，另有部分交易記錄遭遇泄露風險。

　　中國人保系統此前還被曝出可未授權訪問大量保單信息，包括姓名、身份證、學校等，公司確認目前仍在修復中。

　　多個漏洞響應平臺的專家都表示，目前，網絡安全信息的泄露是比較嚴重的，烏云網運營人員孟卓說：安全漏洞，會隨著時間和技術的變化不斷出現新的類型。

　　孟卓：平時的電腦，windows系統，其實他這種規模和實力在全球都是數一數二的，我們看到的問題是什么，每個月的周二，他都會下發一篇，其實他是一個現狀，他這個產品可以做到理論上的一個點，但他這個是在不斷地升級，在這個過程中難免會出現新的問題，所以安全漏洞也是這樣，所以下一個版本多一個新的小功能，所以新的漏洞也隨之產生了。

　　孟卓表示，要想確保金融系統的安全，一方面需要預警平臺及時的發現問題，另一方面相關的金融網站需要重視漏洞風險，及時修復。

　　孟卓：從現有的報告來看他這個安全級別或者他這個安全漏洞級別還是蠻大的。他這個漏洞被發現的話他會可能很輕易就拿到后面這個數據溝通陳述的用戶的敏感信息，甚至說間接影響到網站服務器的系統呈現，更大的影響可能還會影響到券商或者金融機構的內部網絡環境的安全。目前從金融企業的現狀來看，很重視這個問題，然后如果發現了漏洞，又能及時處理，這是一個進步的現象。