多家銀行被爆存互聯(lián)網(wǎng)安全漏洞 銀證?；?ldquo;中招”

Word多家銀行被爆存互聯(lián)網(wǎng)安全漏洞銀證?；小爸姓小碑?dāng)前網(wǎng)絡(luò)個(gè)人信息泄漏現(xiàn)象十分嚴(yán)重，特別是銀行卡等金融敏感信息泄漏現(xiàn)象屢次發(fā)生，被一些不法分子利用從事違法犯罪行為，損害用戶利益。對(duì)此，國(guó)家高度重視，已在加強(qiáng)相關(guān)立法和標(biāo)準(zhǔn)制定，加強(qiáng)管理，出臺(tái)部門規(guī)章。同時(shí)開展專項(xiàng)打擊，加大宣傳力度。

近日，來(lái)自“烏云”、“補(bǔ)天”等多家漏洞響應(yīng)平臺(tái)的數(shù)據(jù)顯示，部分銀行網(wǎng)站存在漏洞，據(jù)銀行市場(chǎng)調(diào)查分析報(bào)告顯示，2021年上半年，中國(guó)金融機(jī)構(gòu)的互聯(lián)網(wǎng)安全漏洞數(shù)量快速增長(zhǎng)，投資者的個(gè)人信息、賬號(hào)密碼、交易記錄均存在被泄露的風(fēng)險(xiǎn)。

記者從“烏云”“補(bǔ)天”等多家漏洞響應(yīng)平臺(tái)獲取的數(shù)據(jù)顯示，目前，已被曝出的金融機(jī)構(gòu)網(wǎng)站大小漏洞涉及國(guó)聯(lián)證券、中國(guó)人保等多家知名金融機(jī)構(gòu)，以及部分中小村鎮(zhèn)銀行、互聯(lián)網(wǎng)P2P平臺(tái)，漏洞主要集中在注入漏洞、跨站腳本攻擊、金融APP安全問(wèn)題等。這些漏洞不少已被金融機(jī)構(gòu)廠商確認(rèn)存在信息泄露等風(fēng)險(xiǎn)。

“互聯(lián)網(wǎng)安全問(wèn)題在保險(xiǎn)業(yè)、銀行業(yè)、證券業(yè)普遍存在?！眹?guó)內(nèi)最大的漏洞報(bào)告平臺(tái)“烏云”的負(fù)責(zé)人說(shuō)。

數(shù)家商業(yè)銀行“中招”，轉(zhuǎn)賬記錄可能泄露。今年7月以來(lái)，就有中國(guó)郵政儲(chǔ)蓄銀行在上述響應(yīng)平臺(tái)被曝出存在漏洞，目前大多數(shù)漏洞已被金融機(jī)構(gòu)確認(rèn)并修復(fù)。其中一份已修復(fù)的漏洞示例圖中，包商銀行網(wǎng)站某系統(tǒng)漏洞此前可被利用查看部分銀行轉(zhuǎn)賬記錄，包括轉(zhuǎn)賬金額、時(shí)間以及持卡人戶名、賬號(hào)、電話號(hào)碼等信息。

部分證券公司投資者開戶信息遭遇泄露風(fēng)險(xiǎn)。今年6月，國(guó)聯(lián)證券在某漏洞相應(yīng)平臺(tái)確認(rèn)其系統(tǒng)存在漏洞，可能泄漏信息；7月以來(lái)，國(guó)泰君安證券僅在某響應(yīng)平臺(tái)就被曝出多個(gè)漏洞，且均已被廠商確認(rèn)修復(fù)，其中一個(gè)注入漏洞被修復(fù)前被響應(yīng)平臺(tái)標(biāo)明為可能泄漏券商預(yù)約開戶人姓名、手機(jī)號(hào)碼和郵箱。

一些基金公司、保險(xiǎn)公司交易信息、保單信息可能泄露?！把a(bǔ)天”漏洞平臺(tái)數(shù)據(jù)顯示，中銀基金此前被曝出某系統(tǒng)漏洞涉及千萬(wàn)條個(gè)人信息，其中包括基金賬號(hào)和密碼，另有部分交易記錄遭遇泄露風(fēng)險(xiǎn)。中國(guó)人保系統(tǒng)此前還被曝出可未授權(quán)訪問(wèn)大量保單信息，包括姓名、身份證、學(xué)校等，公司確認(rèn)目前仍在修復(fù)中。

據(jù)了解，截至目前，上述金融機(jī)構(gòu)的大部分網(wǎng)站漏洞已被修補(bǔ)，但仍有部分長(zhǎng)期未修復(fù)?！敖鹑跈C(jī)構(gòu)網(wǎng)站漏洞造成的危害主要包括能夠非法讀取、篡改、添加、刪除數(shù)據(jù)；私自添加或刪除賬號(hào)；注入木馬；盜取用戶賬戶、修改用戶設(shè)置、盜取敏感信息，因此危害相當(dāng)嚴(yán)重。”“烏云”負(fù)責(zé)人介紹，僅2021年上半年，已被金融機(jī)構(gòu)確認(rèn)、修復(fù)的自身網(wǎng)站安全漏洞的數(shù)量已超過(guò)去年同期，其中金融機(jī)構(gòu)網(wǎng)站高危和中危漏洞數(shù)量的總和，已占總體探知漏洞總數(shù)的97.2%。

銀證保基均有“中招”

金融機(jī)構(gòu)網(wǎng)站漏洞會(huì)給消費(fèi)者帶來(lái)怎樣的影響？業(yè)內(nèi)人士指出，部分敏感信息通過(guò)金融機(jī)構(gòu)網(wǎng)站漏洞泄露，最直接的影響是導(dǎo)致推銷電話騷擾乃至財(cái)產(chǎn)損失。例如，這些漏洞可能泄露大量用戶數(shù)據(jù)，如郵箱、手機(jī)號(hào)碼、銀行賬號(hào)等。泄露的信息主要被用于電話銷售、欺詐投資等用途。

根據(jù)相關(guān)技術(shù)人員提供的線索，記者通過(guò)某即時(shí)通訊軟件聯(lián)系到了一個(gè)名為“全國(guó)股民電話資源”的聊天群，其中有不少“黃?！痹诘官u已泄露的開戶股民個(gè)人信息，數(shù)據(jù)報(bào)價(jià)0.6元/條。

在一份四川成都籍賣家提供的包含200名開戶股民電話的試用信息中，記者撥打了多個(gè)電話，均驗(yàn)證是在當(dāng)?shù)厝涕_戶不久的新客戶。而在部分賣家兜售的客戶信息中，標(biāo)明來(lái)源于數(shù)家知名券商機(jī)構(gòu)。一些賣家宣稱，可以“長(zhǎng)期專業(yè)從金融機(jī)構(gòu)提取一手優(yōu)質(zhì)投資者號(hào)碼”，范圍可以“精準(zhǔn)至各縣區(qū)”，隨時(shí)在售的包括銀行VIP、P2P理財(cái)、股民、貴金屬投資者等電話信息，“空號(hào)實(shí)時(shí)檢測(cè)，質(zhì)量絕對(duì)有保證，僅僅是群平臺(tái)類似我們這樣的銷售群至少還有幾十個(gè)”。

來(lái)自名為“股民電話資源群”的一名賣家告訴記者，股民、儲(chǔ)戶電話信息的購(gòu)買者主要是電話推銷機(jī)構(gòu)，其中不乏“倫敦金”等地下貴金屬、非法