25%銀行類網(wǎng)站存高危風(fēng)險
近期,一起“18歲黑客竊取銀行卡信息,涉案15億元”的新聞在社會上引發(fā)較大反響。該案件中,18歲黑客葉某利用自編的黑客軟件,通過互聯(lián)網(wǎng)批量提取客戶銀行卡信息,并通過網(wǎng)上中介轉(zhuǎn)賣。不法分子再利用這些銀行卡信息在網(wǎng)上大肆盜刷或轉(zhuǎn)賬牟利,涉案金額高達(dá)14.98億多元。
記者了解到,這一事件絕不僅僅是個案,不少金融機(jī)構(gòu)的網(wǎng)站確實存在高危漏洞,易被黑客攻擊,從而危及客戶的信息安全和資金安全。而權(quán)威部門的檢測結(jié)果也顯示,雖然金融機(jī)構(gòu)網(wǎng)站的高危風(fēng)險近年來持續(xù)下降,但目前仍有大概25%銀行類網(wǎng)站存在高危風(fēng)險,恐危及資金安全。此外,有機(jī)構(gòu)預(yù)測,移動支付將可能成為網(wǎng)絡(luò)攻擊的新目標(biāo)。
|
趙乃育/繪 |
警惕 不少金融類網(wǎng)站存高危風(fēng)險
360補(bǔ)天漏洞響應(yīng)平臺工作人員向記者介紹稱,經(jīng)統(tǒng)計,截至1月19日,白帽子(即正面的黑客,可識別計算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,但并不會惡意利用)提交到平臺且通過平臺驗證的漏洞報告顯示,和金融機(jī)構(gòu)相關(guān)的網(wǎng)絡(luò)漏洞共89個,其中高危漏洞70個,中危漏洞6個,低危漏洞13個。值得注意的是,截至目前,仍有接近30個漏洞仍未修復(fù)。
360補(bǔ)天平臺負(fù)責(zé)人趙武在接受《經(jīng)濟(jì)參考報》記者采訪時表示,某些高危漏洞若被黑客利用或攻擊,將產(chǎn)生嚴(yán)重后果!氨热,利用某些漏洞,黑客可入侵銀行網(wǎng)站的數(shù)據(jù)庫,非法獲得大量后臺客戶數(shù)據(jù);更有甚者,有些漏洞的存在能使黑客通過植入木馬程序從而控制整個服務(wù)器。這些漏洞都被我們稱為高危漏洞!
而來自360補(bǔ)天平臺的漏洞報告還顯示,在這些存在安全漏洞的銀行類網(wǎng)站中,不少為中小銀行和地區(qū)類城市商業(yè)銀行。比如,三峽銀行、邯鄲銀行、連云港東方農(nóng)村商業(yè)銀行、湖北仙桃農(nóng)村商業(yè)銀行等近30家地區(qū)性商業(yè)銀行的主站存在SQL注入漏洞,這一漏洞屬于高危漏洞,可導(dǎo)致大量數(shù)據(jù)泄露,在這些漏洞中,有些已被修復(fù),有些則沒有。
這些漏洞是如何產(chǎn)生的呢?趙武對記者表示,網(wǎng)站系統(tǒng)設(shè)計開發(fā)不當(dāng)、運(yùn)營維護(hù)不當(dāng)以及工作人員安全意識不強(qiáng)都有可能產(chǎn)生漏洞。有些金融機(jī)構(gòu)網(wǎng)站在設(shè)計上的漏洞顯得非常低端,他列舉某銀行已經(jīng)修復(fù)的漏洞案例稱,在該網(wǎng)站若直接輸入用戶名,不需要任何密碼,可直接顯示該用戶的手機(jī)號碼和客戶號等信息,這就給了黑客可乘之機(jī)。另外,工作人員安全意識的淡薄也可能被黑客所利用。“有些工作人員可能會將一些內(nèi)部系統(tǒng)的網(wǎng)址、用戶名和密碼作為QQ群的簽名檔貼出來,這些信息完全是公開的,任何人都可以通過QQ的查詢功能查詢到信息,隱患很大!壁w武說。
危機(jī) 新興網(wǎng)絡(luò)理財平臺成重災(zāi)區(qū)
值得注意的是,在網(wǎng)絡(luò)安全上,一些新興的網(wǎng)絡(luò)平臺,如P2P理財借貸平臺、網(wǎng)上支付平臺等,暴露出比傳統(tǒng)金融機(jī)構(gòu)網(wǎng)站更加嚴(yán)重的問題。
來自360補(bǔ)天漏洞響應(yīng)平臺的信息顯示,此前,國內(nèi)P2P理財平臺PPmoney存在高危漏洞,影響到幾十億元資產(chǎn)。黑客不僅可以獲取用戶的財務(wù)、隱私信息及發(fā)送到手機(jī)上的明文交易密碼,還能任意修改賬戶金額。而該平臺里前20名賬戶余額都在2000萬元以上,最多的超過一億元。目前,該漏洞已經(jīng)被修復(fù)。
據(jù)趙武介紹,PPmoney的高危漏洞可以被黑客利用植入后門,達(dá)到控制數(shù)據(jù)庫和服務(wù)器的目的?刂品⻊(wù)器以后,可以獲取數(shù)據(jù)庫中的所有信息,包括用戶的賬戶金額等財務(wù)信息、手機(jī)號等隱私信息。從漏洞詳情可以看到,還能獲得實時下發(fā)到手機(jī)上的重置密碼、認(rèn)證碼、交易密碼等信息。
另據(jù)360補(bǔ)天漏洞響應(yīng)平臺提供的信息,此前,國內(nèi)P2P平臺小米貸存多個高危漏洞,黑客可直接控制服務(wù)器;普資華企P2P理財網(wǎng)站存在XSS漏洞,使得數(shù)十萬會員信息存在隱患;易網(wǎng)融通金融綜合服務(wù)平臺存在用戶信息泄露風(fēng)險;點點理財P2P平臺存在萬能密碼,黑客可進(jìn)入后臺操作,泄露所有用戶資料;長沙大定財富理財網(wǎng)站存在的漏洞可導(dǎo)致泄露多個數(shù)據(jù)庫信息。目前,這些漏洞均被修復(fù)。
國家信息技術(shù)安全研究中心專家曹岳在接受《經(jīng)濟(jì)參考報》記者采訪時表示,比起傳統(tǒng)的金融機(jī)構(gòu),新興的平臺由于成立時間較短,業(yè)務(wù)飛速發(fā)展,且缺乏有效的監(jiān)管,因此容易暴露問題。尤其是有些新興網(wǎng)絡(luò)平臺的技術(shù)水平與傳統(tǒng)的銀行機(jī)構(gòu)相比存在一定差距,易被黑客攻擊!霸诒O(jiān)管不足的情況下,這些平臺需要自身承擔(dān)起責(zé)任,提高網(wǎng)站的安全性!
防范 移動支付恐成網(wǎng)絡(luò)攻擊新目標(biāo)
“實際上,從整體來看,金融行業(yè)的信息系統(tǒng)安全性相對于其他行業(yè)來說,算是比較安全的,如金融行業(yè)的重要系統(tǒng)極少存在弱口令這樣的低級漏洞!辈茉辣硎尽
360互聯(lián)網(wǎng)安全中心最新發(fā)布的網(wǎng)站安全性行業(yè)分析報告也顯示,從存在高危漏洞的角度看,電子商務(wù)類網(wǎng)站(26%)的比例最高;其次為生活信息類(24%)、醫(yī)療衛(wèi)生(22%)和企業(yè)公司(21%)。銀行類網(wǎng)站安全性相對較高,存在高危漏洞比例最低。
“不過,由于金融類網(wǎng)站涉及客戶的信息安全和資金安全,因此,一個很小的漏洞也可能引發(fā)較大的風(fēng)險和問題。因此,必須引發(fā)高度重視!辈茉辣硎。
曹岳表示,從高強(qiáng)度的滲透測試來看金融安全態(tài)勢,依然存在大規(guī)模的網(wǎng)絡(luò)攻擊風(fēng)險。據(jù)他介紹,國家信息技術(shù)安全研究中心從十八大以后開始對金融網(wǎng)站進(jìn)行監(jiān)測,每個季度會出一個分析報告。根據(jù)該中心對銀行網(wǎng)站的持續(xù)檢測,大概25%左右網(wǎng)站存在高危風(fēng)險。根據(jù)360在2014年發(fā)布的互聯(lián)網(wǎng)安全報告,網(wǎng)站的中高危漏洞比例大概占65%。
“金融系統(tǒng)采用了世界上最先進(jìn)的防御體系,我們對他們的防御能力進(jìn)行了穿透性測試,存有漏洞的網(wǎng)站大概有20%的概率被直接穿透。”曹岳說。
不容忽視的是,伴隨著移動支付和移動互聯(lián)網(wǎng)的快速發(fā)展,金融機(jī)構(gòu)網(wǎng)絡(luò)安全問題更為突出。據(jù)卡巴斯基統(tǒng)計,2014年針對安卓設(shè)備的攻擊是2013年的4倍,每5個安卓用戶就有1個面臨過移動威脅。有機(jī)構(gòu)預(yù)測,2015年針對安卓設(shè)備的惡意軟件數(shù)量將是2014年的2倍。移動支付將可能成為網(wǎng)絡(luò)攻擊的新目標(biāo),通過挖掘系統(tǒng)漏洞、制造網(wǎng)上銀行病毒等,網(wǎng)絡(luò)犯罪分子可能獲取金融敏感信息或劫持賬戶。與此同時,近年來,全球大規(guī)模數(shù)據(jù)泄露事件頻繁發(fā)生,如美國Target超市7000萬客戶資料,摩根大通賬號資料被竊取,iCloud泄露出大量好萊塢影星私密照片,國內(nèi)12306用戶身份證等敏感信息泄露。
曹岳指出,目前黑色產(chǎn)業(yè)鏈趨利化、集團(tuán)化、跨境化的特點日趨明顯,如一次跨境網(wǎng)絡(luò)釣魚攻擊,黑客從騙取用戶的信息到在國外的ATM取現(xiàn)只需要2小時,而立案最快得6小時,不法分子的攻擊速度已經(jīng)遠(yuǎn)遠(yuǎn)超出更大范圍的安全防御框架。
“互聯(lián)網(wǎng)金融在2014年快速發(fā)展,金融支付已經(jīng)貫穿到存、貸、流通各個環(huán)節(jié),安全問題也是跨平臺、跨地域的,安全問題更加復(fù)雜。譬如不法分子通過假冒淘寶商家讓一個北京的買家電腦中了一個木馬,通過欺詐的方式騙取用戶賬戶金額,最后錢在幾個銀行流通后,從另外一個省ATM取出去。因此,在一個高度關(guān)聯(lián)依賴的數(shù)字金融網(wǎng)絡(luò),攻擊一個金融系統(tǒng)就意味著攻擊整個金融系統(tǒng),沒有一個人可以逃脫這種攻擊。雖然每個金融機(jī)構(gòu)在業(yè)務(wù)上是競爭的,但在信息安全上面臨著同樣的對手。有必要聯(lián)合安全服務(wù)商、金融機(jī)構(gòu)和主管部門、金融參與者等進(jìn)行共同防御!辈茉勒f。