金融机构互联网漏洞频发 业内：漏洞伴随系统更新产生

　　央广网北京9月9日消息（记者周益帆）据中国之声《新闻纵横》报道，近日，包括乌云、补天等漏洞响应平台曝光了多家银行、券商、保险、基金公司网站存在漏洞。这些漏洞主要集中在跨站脚本攻击、金融APP安全问题等。

　　这些听起来不太好懂的专有名词，对普通人会有什么影响呢？简单说，如果不及时处理漏洞，包括银行的转账信息和投资者的个人信息、账号密码、交易记录都存在被泄露的风险。用户钱袋子的安全如何保障？

　　在普通人看来，名字、手机、证件号码等信息，都是极隐私的内容。但是在一些黑客眼中，却成了牟利的工具，搜索关键词，发现网络上不少卖家出售，一条个人金融信息，从几毛钱到几十块钱不等，几毛钱的，手机号码和姓名基本可以匹配，几十块钱的，据卖家说，只要买方的需求不是特别过分，基本都可以满足：

　　卖家：根据客户的需求，让黑客去做这个事情，黑客根据这个需求，需要什么样的资料，然后把这些数据弄到手。

　　记者：一些大的证券公司的可以弄到吗？

　　卖家：可以的，就是看你需要多少，看你需要多少，我们可以根据您的需求去弄。

　　记者：我们提出的需求都能满足是吧？

　　卖家：都是可以的，只要不是太过分的。

　　记者：百万级别的证券公司也是可以的，是吧？

　　卖家：只要价钱合适，都是可以的。

　　乌云网运营专家孟卓说，如果目标网站存在相关的漏洞，这位卖家说的情况，是完全有可能出现的。从7月以来，多家漏洞响应平台曝光了不少银行、券商、保险、基金公司网站存在漏洞，2015年中国互联网安全大会安全专家鲍宇介绍：

　　鲍宇：在乌云和补天漏洞平台上发现的存在漏洞的平台，银行有平安银行、建设银行、有江苏商业银行、包商银行、葫芦岛银行等银行，还有国泰基金、中银基金、东方基金、鹏华基金等多个基金以及光大证券、国信证券、广发证券、国都证券等，有的金融机构甚至一个月被白帽子黑客发现六次漏洞。

　　尽管各金融机构漏洞表现不完全一致，但其中有不少共性问题。

　　乌云网运营人员孟卓：首先一家银行、券商都会使用一个网站系统，有的可能是自己开发的，有的也可能用的是现成的程序，就是这个系统就可能存在各种各样的问题，影响用户的数据，金融类的对用户数据的记录是非常详细地，比如说姓名、住址、联系方式，甚至你绑定的银行卡号，还有它的开户行等等信息，可能会有泄露的风险。

　　更具体来说，在银行方面，面临的风险是转账记录可能泄露，比如招商银行网站的一个系统漏洞此前可被利用查看部分银行转账记录，包括转账金额、时间以及持卡人户名、账号、电话号码等信息，目前大多数银行系统漏洞已被金融机构确认并修复。

　　证券公司方面，投资者开户信息遭遇泄露风险。7月以来，国泰君安证券在乌云网上被曝出多个漏洞，其中一个注入漏洞在被修复前被响应平台标明为可能泄漏券商预约开户人姓名、手机和邮箱，目前漏洞也已被厂商确认修复。

　　在基金公司、保险公司方面，存在交易信息、保单信息泄露的风险。“补天”漏洞平台数据显示，中银基金此前被曝出某系统漏洞涉及千万条个人信息，其中包括基金账号和密码，另有部分交易记录遭遇泄露风险。

　　中国人保系统此前还被曝出可未授权访问大量保单信息，包括姓名、身份证、学校等，公司确认目前仍在修复中。

　　多个漏洞响应平台的专家都表示，目前，网络安全信息的泄露是比较严重的，乌云网运营人员孟卓说：安全漏洞，会随着时间和技术的变化不断出现新的类型。

　　孟卓：平时的电脑，windows系统，其实他这种规模和实力在全球都是数一数二的，我们看到的问题是什么，每个月的周二，他都会下发一篇，其实他是一个现状，他这个产品可以做到理论上的一个点，但他这个是在不断地升级，在这个过程中难免会出现新的问题，所以安全漏洞也是这样，所以下一个版本多一个新的小功能，所以新的漏洞也随之产生了。

　　孟卓表示，要想确保金融系统的安全，一方面需要预警平台及时的发现问题，另一方面相关的金融网站需要重视漏洞风险，及时修复。

　　孟卓：从现有的报告来看他这个安全级别或者他这个安全漏洞级别还是蛮大的。他这个漏洞被发现的话他会可能很轻易就拿到后面这个数据沟通陈述的用户的敏感信息，甚至说间接影响到网站服务器的系统呈现，更大的影响可能还会影响到券商或者金融机构的内部网络环境的安全。目前从金融企业的现状来看，很重视这个问题，然后如果发现了漏洞，又能及时处理，这是一个进步的现象。