新华网上海9月7日电(记者杜放、杨毅沉、张翅)“刚刚注册股票帐户,就接到各类荐股推销电话。”家住广州市通州区的周男士既震惊又惊讶,她的信息如何那么快就被诸多销售人员“盯上”?
日前,著名漏洞响应平台爆光了多家建行、券商、保险、基金公司网站存在漏洞。2015年上半年我国金融机构的互联网安全漏洞数目快速下降,投资者的个人信息、账号密码、交易记录均存在被泄漏的风险。
用户核心数据漏洞快速下降,银证保基均有“中招”
记者从“乌云”“补天”等多家漏洞响应平台获取的数据显示,目前,已被爆出的金融机构网站大小漏洞涉及国联期货、中国人保等多家著名金融机构,以及部份中小村镇建行、互联网P2P平台,漏洞主要集中在注入漏洞、跨站脚本功击、金融APP安全问题等。这种漏洞不少已被金融机构厂商确认存在信息泄漏等风险。
“互联网安全问题在保险业、银行业、证券业普遍存在。”国内最大的漏洞报告平台乌云负责人说。
--数家商业建行“中招”,汇款记录可能泄漏。去年7月以来,就有中国邮政储蓄建行、包商建行在上述响应平台被爆出存在漏洞,目前大多数漏洞已被金融机构确认并修补。其中一份已修补的漏洞示例图中,包商建行网站某系统漏洞此前可被借助查看部份建行汇款记录,包括汇款金额、时间以及持卡人户名、账号、电话号码等信息。
--部份期货公司投资者开户信息遭到外泄风险。去年6月,国联期货在某漏洞相应平台确认其系统存在漏洞,可能泄露信息;7月以来,国泰君安期货仅在某响应平台就被爆出多个漏洞,且均已被厂商确认修补,其中一个注入漏洞被修补前被响应平台标注为可能泄露券商预约开户人姓名、手机和邮箱。
--一些基金公司、保险公司交易信息、保单信息可能泄漏。“补天”漏洞平台数据显示,中银基金此前被爆出某系统漏洞涉及千万条个人信息,其中包括基金帐号和密码,另有部份交易记录遭到外泄风险。中国人保系统此前还被爆出可未授权访问大量保单信息,包括姓名、身份证、学校等,公司确认目前仍在修补中。
据了解,截止目前,上述金融机构的大部份网站漏洞已被修复,但仍有部份常年未修补。“金融机构网站漏洞导致的害处主要包括才能非法读取、篡改、添加、删除数据;擅自添加或删掉帐号;注入木马;窃取用户帐户、修改用户设置、盗取敏感信息,因而害处相当严重。”国内最大的漏洞相应平台乌云负责人介绍,仅2015年上半年,已被金融机构确认、修复的自身网站安全漏洞的数目已超过今年同期,其中金融机构网站高危和中危漏洞数目的总和,已占总体窥探漏洞总量的97.2%。
网路安全平台“i春秋”创始人蔡晶晶说,“总体来讲,无论保险、银行、证券或是新兴的互联网金融,2015年上半年互联网大漏洞,网路安全漏洞的数目相比今年同期有较大下降。”
散户信息6分钱一条,电话推销机构为主要卖家
金融机构网站漏洞会给消费者带来如何的影响?业内人士强调,部份敏感信息通过金融机构网站漏洞窃取,最直接的影响是造成推销电话恐吓乃至财产损失。比如,这种漏洞可能泄漏大量用户数据,如邮箱、手机、银行帐号等。泄漏的信息主要被用于电话销售、欺诈投资等用途。
依据相关技术人员提供的线索,记者通过某即时通信软件联系到了一家名为“全国散户电话资源”的聊天群,其中有不少“黄牛”在盗卖已泄漏的开户散户个人信息互联网大漏洞,数据报价0.6元/条。
在一份广东广州籍买家提供的包含200名开户散户电话的试用信息中,记者拨通了多个电话,均验证是在当地券商开户不久的新顾客。而在部份买家兜售的顾客信息中,标注来始于数家著名券商机构。一些店家声称,可以“长期专业从金融机构提取一手优质投资者号码”,范围可以“精准至各市区”,随时在售的包括工行VIP、P2P理财、股民、贵金属投资者等电话信息,“空号实时监测,质量绝对有保证,仅仅是QQ群平台类似我们这样的销售群起码还有几十家”。
来自名为“股民电话资源群”的一位QQ买家告诉记者,散户、储户电话信息的订购者主要是电话推销机构,其中不乏“伦敦金”等地下贵金属、非法理财等“长期卖家”。
记者从多位买家处了解到,通过第三方支付线上付款,个人信息被交易的过程不超过数分钟。
多方均可能成为漏洞“制造者”,维权多无门仍待明晰责任
国家网信办网路安全协调局副主任杨春燕表示,当前网路个人信息泄露现象非常严重,非常是农行卡等金融敏感信息泄露现象屡屡发生,被一些不法分子借助从事违规犯罪行为,损害用户利益。对此,国家高度注重,已在强化相关立法和标准制订,强化管理,颁布部门规章。同时举办专项严打,加强宣传力度。
据介绍,我国法律法规已明晰金融机构等厂商对顾客信息负有保护责任,其网站系统的个人信息保护建设须符合国家标准。诸如,我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护手册》已即将施行。中国人民交行也分别于2011年和2012年印发了《关于银行业金融机构做好个人金融信息保护工作的通知》和《关于金融机构进一步做好顾客个人金融信息保护工作的通知》。
“然而,一方面,把握庞大顾客资料和财务信息的金融机构在互联网举办金融业务,其运行系统可能受到黑客等存恶意目的人员的破坏,从中盗取相关信息。另一方面,交行的专网内网路传输过程中对于用户身分的鉴别、管理,很可能存在作假或存在辨识不够的问题。”国家信息中心专家委员会书记宁家骏说。
“一些金融机构自身技术和人为管理不善,是导致金融消费者信息泄漏的主要诱因。”安全漏洞专家、杭州信息技术有限公司安全咨询经理冯旭杭说。记者了解到,出于节省成本的要求,目前期货、公募投资基金等金融机构的网上开户交易系统多数交由软件外包商开发、运营,但大多数软件外包商对用户信息安全表示“免责”,不提供任何信息安全方面的承诺。
中国电子信息产业发展研究院副教授樊会文强调,虽然根据全省人大常委会《关于强化网路信息保护的决定》,遭到信息泄露的个人有权要求网路服务提供者删掉有关信息或则采取其他必要举措给以阻止。但消费者很难通过技术手段验证泄露源头的责任,无法维权。“一旦发生资金被侵吞,好多时侯会出现各方推卸责任,有关个人信息隐私保护的法律法规尚待建立。”
记者了解到,目前国家网信办、工信部、公安部等执法部门已陆续举办了防范整治黑客地下产业链、打击整治联通恶意程序等系列专项严打行动,清不仅大量从事黑客功击、病毒传播的恶意IP地址、域名和联通应用程序,严厉严打用户信息泄露等网路犯罪行为。
“除了监管机构,金融机构也应把其互联网金融业务放到网路安全、信息安全的新环境下考虑。”宁家骏觉得,一旦发觉风险端倪,金融机构有责任及时处理;倘若引起重大损害,监管部门应限期机构赔付投资者损失。