25%銀行類網(wǎng)站存高危風(fēng)險(xiǎn)
近期,,一起“18歲黑客竊取銀行卡信息,,涉案15億元”的新聞在社會(huì)上引發(fā)較大反響,。該案件中,18歲黑客葉某利用自編的黑客軟件,,通過(guò)互聯(lián)網(wǎng)批量提取客戶銀行卡信息,并通過(guò)網(wǎng)上中介轉(zhuǎn)賣,。不法分子再利用這些銀行卡信息在網(wǎng)上大肆盜刷或轉(zhuǎn)賬牟利,,涉案金額高達(dá)14.98億多元。
記者了解到,,這一事件絕不僅僅是個(gè)案,,不少金融機(jī)構(gòu)的網(wǎng)站確實(shí)存在高危漏洞,,易被黑客攻擊,從而危及客戶的信息安全和資金安全,。而權(quán)威部門的檢測(cè)結(jié)果也顯示,,雖然金融機(jī)構(gòu)網(wǎng)站的高危風(fēng)險(xiǎn)近年來(lái)持續(xù)下降,但目前仍有大概25%銀行類網(wǎng)站存在高危風(fēng)險(xiǎn),,恐危及資金安全,。此外,有機(jī)構(gòu)預(yù)測(cè),,移動(dòng)支付將可能成為網(wǎng)絡(luò)攻擊的新目標(biāo),。
 |
|
趙乃育/繪 |
警惕 不少金融類網(wǎng)站存高危風(fēng)險(xiǎn)
360補(bǔ)天漏洞響應(yīng)平臺(tái)工作人員向記者介紹稱,經(jīng)統(tǒng)計(jì),,截至1月19日,,白帽子(即正面的黑客,可識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,,但并不會(huì)惡意利用)提交到平臺(tái)且通過(guò)平臺(tái)驗(yàn)證的漏洞報(bào)告顯示,,和金融機(jī)構(gòu)相關(guān)的網(wǎng)絡(luò)漏洞共89個(gè),其中高危漏洞70個(gè),,中危漏洞6個(gè),,低危漏洞13個(gè)。值得注意的是,,截至目前,,仍有接近30個(gè)漏洞仍未修復(fù)。
360補(bǔ)天平臺(tái)負(fù)責(zé)人趙武在接受《經(jīng)濟(jì)參考報(bào)》記者采訪時(shí)表示,,某些高危漏洞若被黑客利用或攻擊,,將產(chǎn)生嚴(yán)重后果�,!氨热�,,利用某些漏洞,黑客可入侵銀行網(wǎng)站的數(shù)據(jù)庫(kù),,非法獲得大量后臺(tái)客戶數(shù)據(jù),;更有甚者,有些漏洞的存在能使黑客通過(guò)植入木馬程序從而控制整個(gè)服務(wù)器,。這些漏洞都被我們稱為高危漏洞,。”
而來(lái)自360補(bǔ)天平臺(tái)的漏洞報(bào)告還顯示,,在這些存在安全漏洞的銀行類網(wǎng)站中,,不少為中小銀行和地區(qū)類城市商業(yè)銀行。比如,三峽銀行,、邯鄲銀行,、連云港東方農(nóng)村商業(yè)銀行、湖北仙桃農(nóng)村商業(yè)銀行等近30家地區(qū)性商業(yè)銀行的主站存在SQL注入漏洞,,這一漏洞屬于高危漏洞,,可導(dǎo)致大量數(shù)據(jù)泄露,在這些漏洞中,,有些已被修復(fù),,有些則沒(méi)有。
這些漏洞是如何產(chǎn)生的呢,?趙武對(duì)記者表示,,網(wǎng)站系統(tǒng)設(shè)計(jì)開(kāi)發(fā)不當(dāng)、運(yùn)營(yíng)維護(hù)不當(dāng)以及工作人員安全意識(shí)不強(qiáng)都有可能產(chǎn)生漏洞,。有些金融機(jī)構(gòu)網(wǎng)站在設(shè)計(jì)上的漏洞顯得非常低端,,他列舉某銀行已經(jīng)修復(fù)的漏洞案例稱,在該網(wǎng)站若直接輸入用戶名,,不需要任何密碼,,可直接顯示該用戶的手機(jī)號(hào)碼和客戶號(hào)等信息,,這就給了黑客可乘之機(jī),。另外,工作人員安全意識(shí)的淡薄也可能被黑客所利用,�,!坝行┕ぷ魅藛T可能會(huì)將一些內(nèi)部系統(tǒng)的網(wǎng)址、用戶名和密碼作為QQ群的簽名檔貼出來(lái),,這些信息完全是公開(kāi)的,,任何人都可以通過(guò)QQ的查詢功能查詢到信息,隱患很大,�,!壁w武說(shuō)。
危機(jī) 新興網(wǎng)絡(luò)理財(cái)平臺(tái)成重災(zāi)區(qū)
值得注意的是,,在網(wǎng)絡(luò)安全上,,一些新興的網(wǎng)絡(luò)平臺(tái),如P2P理財(cái)借貸平臺(tái),、網(wǎng)上支付平臺(tái)等,,暴露出比傳統(tǒng)金融機(jī)構(gòu)網(wǎng)站更加嚴(yán)重的問(wèn)題。
來(lái)自360補(bǔ)天漏洞響應(yīng)平臺(tái)的信息顯示,,此前,,國(guó)內(nèi)P2P理財(cái)平臺(tái)PPmoney存在高危漏洞,影響到幾十億元資產(chǎn),。黑客不僅可以獲取用戶的財(cái)務(wù),、隱私信息及發(fā)送到手機(jī)上的明文交易密碼,,還能任意修改賬戶金額。而該平臺(tái)里前20名賬戶余額都在2000萬(wàn)元以上,,最多的超過(guò)一億元,。目前,該漏洞已經(jīng)被修復(fù),。
據(jù)趙武介紹,,PPmoney的高危漏洞可以被黑客利用植入后門,達(dá)到控制數(shù)據(jù)庫(kù)和服務(wù)器的目的,�,?刂品⻊�(wù)器以后,可以獲取數(shù)據(jù)庫(kù)中的所有信息,,包括用戶的賬戶金額等財(cái)務(wù)信息,、手機(jī)號(hào)等隱私信息。從漏洞詳情可以看到,,還能獲得實(shí)時(shí)下發(fā)到手機(jī)上的重置密碼,、認(rèn)證碼、交易密碼等信息,。
另?yè)?jù)360補(bǔ)天漏洞響應(yīng)平臺(tái)提供的信息,,此前,國(guó)內(nèi)P2P平臺(tái)小米貸存多個(gè)高危漏洞,,黑客可直接控制服務(wù)器,;普資華企P2P理財(cái)網(wǎng)站存在XSS漏洞,使得數(shù)十萬(wàn)會(huì)員信息存在隱患,;易網(wǎng)融通金融綜合服務(wù)平臺(tái)存在用戶信息泄露風(fēng)險(xiǎn),;點(diǎn)點(diǎn)理財(cái)P2P平臺(tái)存在萬(wàn)能密碼,黑客可進(jìn)入后臺(tái)操作,,泄露所有用戶資料,;長(zhǎng)沙大定財(cái)富理財(cái)網(wǎng)站存在的漏洞可導(dǎo)致泄露多個(gè)數(shù)據(jù)庫(kù)信息。目前,,這些漏洞均被修復(fù),。
國(guó)家信息技術(shù)安全研究中心專家曹岳在接受《經(jīng)濟(jì)參考報(bào)》記者采訪時(shí)表示,比起傳統(tǒng)的金融機(jī)構(gòu),,新興的平臺(tái)由于成立時(shí)間較短,,業(yè)務(wù)飛速發(fā)展,且缺乏有效的監(jiān)管,,因此容易暴露問(wèn)題,。尤其是有些新興網(wǎng)絡(luò)平臺(tái)的技術(shù)水平與傳統(tǒng)的銀行機(jī)構(gòu)相比存在一定差距,易被黑客攻擊�,!霸诒O(jiān)管不足的情況下,,這些平臺(tái)需要自身承擔(dān)起責(zé)任,提高網(wǎng)站的安全性,�,!�
防范 移動(dòng)支付恐成網(wǎng)絡(luò)攻擊新目標(biāo)
“實(shí)際上,從整體來(lái)看,,金融行業(yè)的信息系統(tǒng)安全性相對(duì)于其他行業(yè)來(lái)說(shuō),,算是比較安全的,如金融行業(yè)的重要系統(tǒng)極少存在弱口令這樣的低級(jí)漏洞,�,!辈茉辣硎尽�
360互聯(lián)網(wǎng)安全中心最新發(fā)布的網(wǎng)站安全性行業(yè)分析報(bào)告也顯示,,從存在高危漏洞的角度看,,電子商務(wù)類網(wǎng)站(26%)的比例最高;其次為生活信息類(24%),、醫(yī)療衛(wèi)生(22%)和企業(yè)公司(21%),。銀行類網(wǎng)站安全性相對(duì)較高,存在高危漏洞比例最低,。
“不過(guò),,由于金融類網(wǎng)站涉及客戶的信息安全和資金安全,因此,,一個(gè)很小的漏洞也可能引發(fā)較大的風(fēng)險(xiǎn)和問(wèn)題,。因此,必須引發(fā)高度重視,。”曹岳表示,。
曹岳表示,,從高強(qiáng)度的滲透測(cè)試來(lái)看金融安全態(tài)勢(shì),依然存在大規(guī)模的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn),。據(jù)他介紹,,國(guó)家信息技術(shù)安全研究中心從十八大以后開(kāi)始對(duì)金融網(wǎng)站進(jìn)行監(jiān)測(cè),每個(gè)季度會(huì)出一個(gè)分析報(bào)告,。根據(jù)該中心對(duì)銀行網(wǎng)站的持續(xù)檢測(cè),,大概25%左右網(wǎng)站存在高危風(fēng)險(xiǎn)。根據(jù)360在2014年發(fā)布的互聯(lián)網(wǎng)安全報(bào)告,,網(wǎng)站的中高危漏洞比例大概占65%,。
“金融系統(tǒng)采用了世界上最先進(jìn)的防御體系,我們對(duì)他們的防御能力進(jìn)行了穿透性測(cè)試,存有漏洞的網(wǎng)站大概有20%的概率被直接穿透,�,!辈茉勒f(shuō)。
不容忽視的是,,伴隨著移動(dòng)支付和移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展,,金融機(jī)構(gòu)網(wǎng)絡(luò)安全問(wèn)題更為突出。據(jù)卡巴斯基統(tǒng)計(jì),,2014年針對(duì)安卓設(shè)備的攻擊是2013年的4倍,,每5個(gè)安卓用戶就有1個(gè)面臨過(guò)移動(dòng)威脅。有機(jī)構(gòu)預(yù)測(cè),,2015年針對(duì)安卓設(shè)備的惡意軟件數(shù)量將是2014年的2倍,。移動(dòng)支付將可能成為網(wǎng)絡(luò)攻擊的新目標(biāo),通過(guò)挖掘系統(tǒng)漏洞,、制造網(wǎng)上銀行病毒等,,網(wǎng)絡(luò)犯罪分子可能獲取金融敏感信息或劫持賬戶。與此同時(shí),,近年來(lái),,全球大規(guī)模數(shù)據(jù)泄露事件頻繁發(fā)生,如美國(guó)Target超市7000萬(wàn)客戶資料,,摩根大通賬號(hào)資料被竊取,,iCloud泄露出大量好萊塢影星私密照片,國(guó)內(nèi)12306用戶身份證等敏感信息泄露,。
曹岳指出,,目前黑色產(chǎn)業(yè)鏈趨利化、集團(tuán)化,、跨境化的特點(diǎn)日趨明顯,,如一次跨境網(wǎng)絡(luò)釣魚(yú)攻擊,黑客從騙取用戶的信息到在國(guó)外的ATM取現(xiàn)只需要2小時(shí),,而立案最快得6小時(shí),,不法分子的攻擊速度已經(jīng)遠(yuǎn)遠(yuǎn)超出更大范圍的安全防御框架。
“互聯(lián)網(wǎng)金融在2014年快速發(fā)展,,金融支付已經(jīng)貫穿到存,、貸、流通各個(gè)環(huán)節(jié),,安全問(wèn)題也是跨平臺(tái),、跨地域的,安全問(wèn)題更加復(fù)雜,。譬如不法分子通過(guò)假冒淘寶商家讓一個(gè)北京的買家電腦中了一個(gè)木馬,,通過(guò)欺詐的方式騙取用戶賬戶金額,,最后錢在幾個(gè)銀行流通后,從另外一個(gè)省ATM取出去,。因此,,在一個(gè)高度關(guān)聯(lián)依賴的數(shù)字金融網(wǎng)絡(luò),攻擊一個(gè)金融系統(tǒng)就意味著攻擊整個(gè)金融系統(tǒng),,沒(méi)有一個(gè)人可以逃脫這種攻擊,。雖然每個(gè)金融機(jī)構(gòu)在業(yè)務(wù)上是競(jìng)爭(zhēng)的,但在信息安全上面臨著同樣的對(duì)手,。有必要聯(lián)合安全服務(wù)商,、金融機(jī)構(gòu)和主管部門、金融參與者等進(jìn)行共同防御,�,!辈茉勒f(shuō)。
