客戶資金頻遭盜刷,信息系統(tǒng)接連出現(xiàn)故障,業(yè)務(wù)系統(tǒng)出現(xiàn)停滯,正在沖刺H股發(fā)行的光大銀行遭遇來(lái)自客戶和投資者的雙重質(zhì)疑:光大銀行的信息系統(tǒng)能否保證客戶的資金安全?頻頻發(fā)生事故的信息系統(tǒng)能否支持光大銀行下一步的業(yè)務(wù)發(fā)展?
針對(duì)光大銀行信息系統(tǒng)的重大漏洞,銀監(jiān)會(huì)前不久專門委托了權(quán)威的國(guó)家信息安全測(cè)評(píng)機(jī)構(gòu)對(duì)該行網(wǎng)上銀行和網(wǎng)站系統(tǒng)進(jìn)行測(cè)試,發(fā)現(xiàn)光大銀行存在銀行內(nèi)部信息泄露風(fēng)險(xiǎn)、釣魚網(wǎng)站攻擊風(fēng)險(xiǎn)、信息安全防護(hù)措施不嚴(yán)密等三方面重大漏洞,并責(zé)令其立即整改。
危險(xiǎn)的光大網(wǎng)銀
2011年1月28日,星期五,正是春節(jié)前刷卡的高峰日,然而,有些光大銀行的持卡用戶卻發(fā)現(xiàn)手中的卡無(wú)法使用,不僅借記卡無(wú)法用,信用卡也無(wú)法刷卡,光大銀行對(duì)此事卻秘而不宣。
原來(lái),這次是光大銀行在北京陶然亭機(jī)房的一臺(tái)光傳輸設(shè)備板卡出現(xiàn)故障,造成線路運(yùn)行不穩(wěn)定,導(dǎo)致光大銀行部分銀聯(lián)和貸記卡業(yè)務(wù)一度中斷。更令人不可思議的是,光大銀行用了近一周的時(shí)間才更換了該設(shè)備板卡,在這期間,所有業(yè)務(wù)均在無(wú)備用線路的情況下運(yùn)行,潛在風(fēng)險(xiǎn)極大。
其實(shí),這已不是光大銀行第一次發(fā)生這樣的事故。也就在今年年初,光大銀行客戶遭釣魚網(wǎng)站惡意盜取密碼,客戶資金發(fā)生損失。去年光大銀行南京分行客戶也是遭遇網(wǎng)上銀行被盜,涉及金額高達(dá)20萬(wàn)元。而該行上海分行對(duì)外銷售的面值1000元的銀行儲(chǔ)值卡,被犯罪嫌疑人通過(guò)網(wǎng)上銀行盜轉(zhuǎn)部分資金,此事已由上海銀監(jiān)局進(jìn)行核查。
而去年光大銀行發(fā)生的核心業(yè)務(wù)系統(tǒng)故障更是驚動(dòng)了國(guó)務(wù)院,銀監(jiān)會(huì)專門就此事向國(guó)務(wù)院做了匯報(bào)。
2010年8月30日中午12時(shí)02分起,光大銀行核心系統(tǒng)及總行前置系統(tǒng)交易出現(xiàn)擁堵,造成全國(guó)網(wǎng)點(diǎn)交易緩慢,柜面業(yè)務(wù)、網(wǎng)上銀行、電話銀行、電子支付等業(yè)務(wù)均受到影響。該事故引起業(yè)務(wù)交易擁堵,系統(tǒng)完全中斷時(shí)間達(dá)12分34秒,對(duì)外正常服務(wù)受到影響時(shí)間約5小時(shí)左右。事后查證,該事故造成核心業(yè)務(wù)系統(tǒng)未成功記賬及重復(fù)記賬共計(jì)5萬(wàn)多筆。
銀監(jiān)會(huì)評(píng)估光大網(wǎng)銀
光大銀行信息科技系統(tǒng)接連出現(xiàn)故障,引起了銀監(jiān)會(huì)的高度關(guān)注。
前不久,銀監(jiān)會(huì)委托國(guó)家信息安全專業(yè)測(cè)評(píng)機(jī)構(gòu)對(duì)光大銀行網(wǎng)上銀行和網(wǎng)站系統(tǒng)進(jìn)行測(cè)試,發(fā)現(xiàn)了該網(wǎng)站存在內(nèi)部信息泄露風(fēng)險(xiǎn)、釣魚網(wǎng)站攻擊風(fēng)險(xiǎn)以及信息安全防護(hù)措施不嚴(yán)密等問(wèn)題。
銀監(jiān)會(huì)認(rèn)定,光大銀行網(wǎng)站存在內(nèi)部敏感信息泄露風(fēng)險(xiǎn),可能為外部攻擊者利用以了解網(wǎng)站機(jī)制、內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),甚至獲取管理權(quán)限,進(jìn)一步攻擊網(wǎng)站。例如:網(wǎng)站主頁(yè)和網(wǎng)上銀行等頁(yè)面沒(méi)對(duì)網(wǎng)頁(yè)出錯(cuò)信息進(jìn)行有效保護(hù),出錯(cuò)信息包含內(nèi)部地址及網(wǎng)站配置信息,信用卡中心頁(yè)面網(wǎng)站和基金咨詢頁(yè)面網(wǎng)站源代碼包含內(nèi)部地址信息,外部攻擊者可進(jìn)一步了解當(dāng)前網(wǎng)站所屬網(wǎng)絡(luò)的結(jié)構(gòu)情況、收集有關(guān)應(yīng)用程序的敏感信息。
銀監(jiān)會(huì)同時(shí)認(rèn)定光大銀行信息安全防護(hù)措施不嚴(yán)密。該行網(wǎng)站養(yǎng)老金管理中心頁(yè)面登錄請(qǐng)求信息在發(fā)送至服務(wù)器的過(guò)程中使用明文傳輸,易造成用戶登錄信息被截獲。
銀監(jiān)會(huì)的檢測(cè)還發(fā)現(xiàn),光大網(wǎng)銀有被釣魚網(wǎng)站攻擊的風(fēng)險(xiǎn)。光大銀行養(yǎng)老金管理中心頁(yè)面和基金咨詢頁(yè)面存在釣魚漏洞風(fēng)險(xiǎn),由于網(wǎng)站應(yīng)用程序未對(duì)用戶的輸入?yún)?shù)進(jìn)行有效檢驗(yàn),惡意攻擊者可能誘騙用戶訪問(wèn)含有惡意腳本代碼的鏈接地址,竊取用戶敏感信息。
銀監(jiān)會(huì)根據(jù)這個(gè)評(píng)估結(jié)果,要求光大銀行進(jìn)一步深入分析上述各類風(fēng)險(xiǎn),認(rèn)真研究其深層次的技術(shù)根源和管理漏洞,針對(duì)有關(guān)問(wèn)題制定切實(shí)可行的解決方案和整改計(jì)劃,并盡快實(shí)施,及時(shí)堵塞漏洞,化解上述各類風(fēng)險(xiǎn)。