• 关于我们 联系我们
当前位置:安全行业动态 → 正文

数家银行被曝互联网安全漏洞:转账记录可能泄露

责任编辑:editor007 |来源:企业网D1Net  2015-09-11 18:18:00 本文摘自:新华日报

新华社发

“刚刚注册股票账户,就接到各种荐股推销电话。”家住北京市大兴区的周女士既惊讶又气愤,她的信息怎么这么快就被众多销售人员“盯上”?

近日,知名漏洞响应平台曝光了多家银行、券商、保险、基金公司网站存在漏洞。2015年上半年我国金融机构的互联网安全漏洞数量快速增长,投资者的个人信息、账号密码、交易记录均存在被泄露的风险。

银证保基均有知名机构“中招”

记者从“乌云”“补天”等多家漏洞响应平台获取的数据显示,目前,已被曝出的金融机构网站大小漏洞涉及国联证券、中国人保等多家知名金融机构,以及部分中小村镇银行、互联网P2P平台,这些漏洞不少已被金融机构厂商确认存在信息泄露等风险。

——数家商业银行“中招”,转账记录可能泄露。今年7月以来,就有中国邮政储蓄银行、包商银行在上述响应平台被曝出存在漏洞,目前大多数漏洞已被金融机构确认并修复。其中一份已修复的漏洞示例图中,包商银行网站某系统漏洞此前可被利用查看部分银行转账记录,包括转账金额、时间以及持卡人户名、账号、电话号码等信息。

——部分证券公司投资者开户信息遭遇泄露风险。今年6月,国联证券在某漏洞相应平台确认其系统存在漏洞,可能泄漏信息;7月以来,国泰君安证券仅在某响应平台就被曝出多个漏洞,且均已被厂商确认修复,其中一个注入漏洞被修复前被响应平台标明为可能泄漏券商预约开户人姓名、手机和邮箱。

——一些基金公司、保险公司交易信息、保单信息可能泄露。“补天”漏洞平台数据显示,中银基金此前被曝出某系统漏洞涉及千万条个人信息,其中包括基金账号和密码,另有部分交易记录遭遇泄露风险。中国人保系统此前还被曝出可未授权访问大量保单信息,包括姓名、身份证、学校等,公司确认目前仍在修复中。

“金融机构网站漏洞造成的危害主要包括能够非法读取、篡改、添加、删除数据;私自添加或删除账号;注入木马;盗取用户账户、修改用户设置、盗取敏感信息,因此危害相当严重。”国内最大的漏洞相应平台乌云负责人介绍,仅2015年上半年,已被金融机构确认、修复的自身网站安全漏洞的数量已超过去年同期,其中金融机构网站高危和中危漏洞数量的总和,已占总体探知漏洞总数的97.2%。

股民信息六角钱一条被倒卖

金融机构网站漏洞会给消费者带来怎样的影响?业内人士指出,部分敏感信息通过金融机构网站漏洞泄露,最直接的影响是导致推销电话骚扰乃至财产损失。例如,这些漏洞可能泄露大量用户数据,如邮箱、手机、银行账号等。泄露的信息主要被用于电话销售、欺诈投资等用途。

根据相关技术人员提供的线索,记者通过某即时通讯软件联系到了一家名为“全国股民电话资源”的聊天群,其中有不少“黄牛”在倒卖已泄露的开户股民个人信息,数据报价0.6元/条。

在一份四川成都籍卖家提供的包含200名开户股民电话的试用信息中,记者拨打了多个电话,均验证是在当地券商开户不久的新客户。而在部分卖家兜售的客户信息中,标明来源于数家知名券商机构。一些卖家宣称,可以“长期专业从金融机构提取一手优质投资者号码”,范围可以“精准至各县区”,随时在售的包括银行VIP、P2P理财、股民、贵金属投资者等电话信息,“空号实时检测,质量绝对有保证,仅仅是QQ群平台类似我们这样的销售群至少还有几十家”。

来自名为“股民电话资源群”的一位QQ卖家告诉记者,股民、储户电话信息的购买者主要是电话推销机构,其中不乏“伦敦金”等地下贵金属、非法理财等“长期买家”。

记者从多位卖家处了解到,通过第三方支付线上付款,个人信息被交易的过程不超过数分钟。

维权多无门亟待明确责任

据介绍,我国法律法规已明确金融机构等厂商对客户信息负有保护责任,其网站系统的个人信息保护建设须符合国家标准。例如,我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》已正式实施。中国人民银行也分别于2011年和2012年印发了《关于银行业金融机构做好个人金融信息保护工作的通知》和《关于金融机构进一步做好客户个人金融信息保护工作的通知》。

“然而,一方面,掌握庞大客户资料和财务信息的金融机构在互联网开展金融业务,其运行系统可能遭到黑客等存恶意目的人员的破坏,从中窃取相关信息。另一方面,银行的专网内网络传输过程中对于用户身份的辨别、管理,很可能存在造假或存在识别不够的问题。”国家信息中心专家委员会主任宁家骏说。

“一些金融机构自身技术和人为管理不善,是造成金融消费者信息泄露的主要原因。”安全漏洞专家、杭州信息技术有限公司安全咨询总监冯旭杭说。记者了解到,出于节约成本的要求,目前证券、公募投资基金等金融机构的网上开户交易系统多数交由软件外包商开发、运营,但大多数软件外包商对用户信息安全表示“免责”,不提供任何信息安全方面的承诺。

中国电子信息产业发展研究院副院长樊会文指出,尽管按照全国人大常委会《关于加强网络信息保护的决定》,遭遇信息泄漏的个人有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。但消费者很难通过技术手段验证泄密源头的责任,难以维权。“一旦发生资金被挪用,很多时候会出现各方推诿责任,有关个人信息隐私保护的法律法规尚待完善。”

“除了监管机构,金融机构也应把其互联网金融业务放在网络安全、信息安全的新环境下考虑。”宁家骏认为,一旦发现风险苗头,金融机构有责任及时处理;如果造成重大损害,监管部门应责令机构赔偿投资者损失。

关键字:安全漏洞银证保iMoney

本文摘自:新华日报

x 数家银行被曝互联网安全漏洞:转账记录可能泄露 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

数家银行被曝互联网安全漏洞:转账记录可能泄露

责任编辑:editor007 |来源:企业网D1Net  2015-09-11 18:18:00 本文摘自:新华日报

新华社发

“刚刚注册股票账户,就接到各种荐股推销电话。”家住北京市大兴区的周女士既惊讶又气愤,她的信息怎么这么快就被众多销售人员“盯上”?

近日,知名漏洞响应平台曝光了多家银行、券商、保险、基金公司网站存在漏洞。2015年上半年我国金融机构的互联网安全漏洞数量快速增长,投资者的个人信息、账号密码、交易记录均存在被泄露的风险。

银证保基均有知名机构“中招”

记者从“乌云”“补天”等多家漏洞响应平台获取的数据显示,目前,已被曝出的金融机构网站大小漏洞涉及国联证券、中国人保等多家知名金融机构,以及部分中小村镇银行、互联网P2P平台,这些漏洞不少已被金融机构厂商确认存在信息泄露等风险。

——数家商业银行“中招”,转账记录可能泄露。今年7月以来,就有中国邮政储蓄银行、包商银行在上述响应平台被曝出存在漏洞,目前大多数漏洞已被金融机构确认并修复。其中一份已修复的漏洞示例图中,包商银行网站某系统漏洞此前可被利用查看部分银行转账记录,包括转账金额、时间以及持卡人户名、账号、电话号码等信息。

——部分证券公司投资者开户信息遭遇泄露风险。今年6月,国联证券在某漏洞相应平台确认其系统存在漏洞,可能泄漏信息;7月以来,国泰君安证券仅在某响应平台就被曝出多个漏洞,且均已被厂商确认修复,其中一个注入漏洞被修复前被响应平台标明为可能泄漏券商预约开户人姓名、手机和邮箱。

——一些基金公司、保险公司交易信息、保单信息可能泄露。“补天”漏洞平台数据显示,中银基金此前被曝出某系统漏洞涉及千万条个人信息,其中包括基金账号和密码,另有部分交易记录遭遇泄露风险。中国人保系统此前还被曝出可未授权访问大量保单信息,包括姓名、身份证、学校等,公司确认目前仍在修复中。

“金融机构网站漏洞造成的危害主要包括能够非法读取、篡改、添加、删除数据;私自添加或删除账号;注入木马;盗取用户账户、修改用户设置、盗取敏感信息,因此危害相当严重。”国内最大的漏洞相应平台乌云负责人介绍,仅2015年上半年,已被金融机构确认、修复的自身网站安全漏洞的数量已超过去年同期,其中金融机构网站高危和中危漏洞数量的总和,已占总体探知漏洞总数的97.2%。

股民信息六角钱一条被倒卖

金融机构网站漏洞会给消费者带来怎样的影响?业内人士指出,部分敏感信息通过金融机构网站漏洞泄露,最直接的影响是导致推销电话骚扰乃至财产损失。例如,这些漏洞可能泄露大量用户数据,如邮箱、手机、银行账号等。泄露的信息主要被用于电话销售、欺诈投资等用途。

根据相关技术人员提供的线索,记者通过某即时通讯软件联系到了一家名为“全国股民电话资源”的聊天群,其中有不少“黄牛”在倒卖已泄露的开户股民个人信息,数据报价0.6元/条。

在一份四川成都籍卖家提供的包含200名开户股民电话的试用信息中,记者拨打了多个电话,均验证是在当地券商开户不久的新客户。而在部分卖家兜售的客户信息中,标明来源于数家知名券商机构。一些卖家宣称,可以“长期专业从金融机构提取一手优质投资者号码”,范围可以“精准至各县区”,随时在售的包括银行VIP、P2P理财、股民、贵金属投资者等电话信息,“空号实时检测,质量绝对有保证,仅仅是QQ群平台类似我们这样的销售群至少还有几十家”。

来自名为“股民电话资源群”的一位QQ卖家告诉记者,股民、储户电话信息的购买者主要是电话推销机构,其中不乏“伦敦金”等地下贵金属、非法理财等“长期买家”。

记者从多位卖家处了解到,通过第三方支付线上付款,个人信息被交易的过程不超过数分钟。

维权多无门亟待明确责任

据介绍,我国法律法规已明确金融机构等厂商对客户信息负有保护责任,其网站系统的个人信息保护建设须符合国家标准。例如,我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》已正式实施。中国人民银行也分别于2011年和2012年印发了《关于银行业金融机构做好个人金融信息保护工作的通知》和《关于金融机构进一步做好客户个人金融信息保护工作的通知》。

“然而,一方面,掌握庞大客户资料和财务信息的金融机构在互联网开展金融业务,其运行系统可能遭到黑客等存恶意目的人员的破坏,从中窃取相关信息。另一方面,银行的专网内网络传输过程中对于用户身份的辨别、管理,很可能存在造假或存在识别不够的问题。”国家信息中心专家委员会主任宁家骏说。

“一些金融机构自身技术和人为管理不善,是造成金融消费者信息泄露的主要原因。”安全漏洞专家、杭州信息技术有限公司安全咨询总监冯旭杭说。记者了解到,出于节约成本的要求,目前证券、公募投资基金等金融机构的网上开户交易系统多数交由软件外包商开发、运营,但大多数软件外包商对用户信息安全表示“免责”,不提供任何信息安全方面的承诺。

中国电子信息产业发展研究院副院长樊会文指出,尽管按照全国人大常委会《关于加强网络信息保护的决定》,遭遇信息泄漏的个人有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。但消费者很难通过技术手段验证泄密源头的责任,难以维权。“一旦发生资金被挪用,很多时候会出现各方推诿责任,有关个人信息隐私保护的法律法规尚待完善。”

“除了监管机构,金融机构也应把其互联网金融业务放在网络安全、信息安全的新环境下考虑。”宁家骏认为,一旦发现风险苗头,金融机构有责任及时处理;如果造成重大损害,监管部门应责令机构赔偿投资者损失。

关键字:安全漏洞银证保iMoney

本文摘自:新华日报

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^