金融机构存信息泄露风险 股民信息6毛一条被贱卖

2015年上半年我国金融机构的互联网安全漏洞数量迅速下降,投资者的个人信息、账号密码、交易记录均存在被泄露的成本。甚至有股民刚刚注册股票帐户,就立刻接到各种荐股推销电话。近日,知名漏洞响应平台曝光了多家银行、券商、保险、基金公司网站存在漏洞。

金融机构确认存在信息泄露等风险

记者从“乌云”“补天”等多家漏洞响应平台获取的数据提示,目前,已承认出的金融机构网站大小漏洞涉及国联证券、中国人保等多家知名金融机构,以及个别中小村镇银行、互联网P2P平台,漏洞主要集中在注入漏洞、跨站脚本攻击、金融APP安全原因等。这些漏洞不少已被金融机构厂商确认存在信息泄露等成本。

“互联网安全原因在保险业、银行业、证券业普遍存在。”国内最大的漏洞报告平台乌云负责人说。

数家商业银行“中招”,转账记录似乎泄露。今年7月以来,就有中国邮政储蓄银行、包商银行在此类响应平台被曝出存在漏洞,目前大多数漏洞已被金融机构确认并恢复。其中一份已重建的漏洞示例图中,包商银行网站某软件漏洞此前可被运用查看部分银行支付记录,包括转帐金额、时间或者持卡人户名、账号、电话号码等信息。

部分证券公司投资者开户信息遭遇泄露风险。今年6月,国联证券在某漏洞相应平台确认其平台存在漏洞,可能泄露信息;7月以来,国泰君安证券仅在某响应平台就承认出多个漏洞,且均未被厂商确认恢复,其中一个注入漏洞被恢复前被响应平台标明为或许泄漏券商预约开户人姓名、手机跟邮箱。

一些基金公司、保险公司交易信息、保单信息似乎泄露。“补天”漏洞平台数据显示,中银基金此前被曝出某软件漏洞涉及千万条个人信息,其中包含基金帐户和账号,另有部分交易记录遭受泄露风险。中国人保系统此前还声称出能已授权访问大量保单信息,包括姓名、身份证、学校等,公司确认当前还在恢复中。

据了解,截至现在,上述金融机构的大部分网站漏洞已被修复,但却有个别长期已恢复。“金融机构网站漏洞导致的弊端主要包含无法伪造读取、篡改、添加、删除数据;私自添加或卸载账号;注入木马;盗取用户账号、修改客户设置、盗取敏感信息,因此影响非常明显。”国内最大的漏洞相应平台乌云负责人介绍,仅2015年上半年,已被金融机构确认、修复的本身网站安全漏洞的总量已达到去年同期股票配资,其中金融机构网站高危和中危漏洞数量的总和,已占整体探知漏洞数量的97.2%。

网络安全平台“i春秋”创始人蔡晶晶说,“总体来讲,无论保险、银行、证券或是新兴的互联网金融,2015年上半年,网络安全漏洞的总量相比去年同期有较大增长。”

“黄牛”倒卖股民信息 报价6毛一条

金融机构网站漏洞会让消费者带来如何的制约?业内人士认为,部分敏感信息利用金融机构网站漏洞窃取,最直接的妨碍是造成推销电话恐吓以及财产损失。例如股票开户信息是如何泄露的,这些漏洞可能泄露大量客户数据,如邮件、手机、银行账户等。泄露的信息主要被用来电话销售、欺诈投资等用途。

根据相关技术人员提供的线索,记者利用某即时通讯软件联系到了一家名为“全国股民电话资源”的聊天群,其中有不少“黄牛”在伪造已泄密的开户股民个人信息股票配资,数据报价0.6元/条。

在一份四川重庆籍卖家提供的包括200名开户股民电话的试用信息中,记者拨通了多个短信,均验证是在当地证券开户不久的新用户。而在个别商家售卖的顾客信息中,标明来源于数家知名证券机构。一些商家认为,可以“长期专业从金融机构提取一手优质投资者号码”,范围可以“精准到各地区”,随时在售的比如银行VIP、P2P理财、股民、贵金属投资者等电话信息,“空号实时监测,质量绝对有保障,仅仅是QQ群平台类似我们这么的销售群至少也有几十家”。

来自名为“股民电话资源群”的一位QQ卖家告诉记者股票配资,股民、储户电话信息的购买者主要是电话推销机构,其中不乏“伦敦金”等地下贵金属、非法投资等“长期买家”。

记者从多位卖家处了解到,通过第三方支付线上付款,个人信息被交易的过程不达到数分钟。

漏洞来源多样 各方推诿责任

国家网信办网络安全协调局副局长杨春燕表示,当前网络个人信息爆炸问题非常明显,特别是银行卡等金融敏感信息泄露问题再次出现,被一些不法分子通过从事非法犯罪行为。对此,国家高度尊重,已在深化相关立法和标准制订,加强监管,出台部门规章。

据介绍,我国宪法条例未确定金融机构等商家对用户信息负有保护责任,其网站平台的个人信息维护发展要依照国家标准。

“然而,一方面,掌握庞大用户资料跟会计信息的金融机构在互联网开展金融销售,其运转系统似乎受到黑客等存恶意目的人员的毁坏,从中窃取相关信息。另一方面,银行的链路内网路通信过程中作为用户身份的区分、管理,很可能存在欺诈或存在识别不够的难题。”国家信息中心专家委员会主任宁家骏说。

“一些金融机构自身科技和人为管理不善,是导致金融消费者信息泄露的首要问题。”安全漏洞专家、杭州信息技术有限公司安全咨询顾问冯旭杭说。记者了解到,出于节省开支的规定,目前银行、公募投资基金等金融机构的网上开户交易平台多数交由系统外包商开发、运营,但大多数软件外包商对客户信息安全表示“免责”,不提供其他信息安全方面的承诺。

中国电子信息产业发展研究院副院长樊会文指出,尽管根据全国人大常委会《关于建立网络信息维护的决定》,遭遇信息泄露的个人有权要求网络服务提供者删除有关信息以及实行任何必要手段给予拒绝。但消费者很难通过科技方式验证泄密源头的责任,难以维权。“一旦出现资金被挪用,很多之后会出现各方推诿责任,有关个人信息隐私保护的刑法条例尚待完善。”

记者了解到,目前国家网信办、工信部、公安部等监管部门未正式启动了应对处置黑客地下产业链、打击整治移动恶意程序等系列专项打击行动股票开户信息是如何泄露的,清除了长期从事黑客攻击、病毒传播的恶意IP地址、域名和移动应用程序,严厉打击客户信息泄露等网络犯罪行为。

“除了管理机构,金融机构也应把其互联网金融销售放在网络安全、信息安全的新环境下考量。”宁家骏认为,一旦看到风险疑虑,金融机构有责任立即处置;如果产生重大损伤,监管部门要限期机构罚款投资者损失。

作者: 股票配资

发表评论

电子邮件地址不会被公开。 必填项已用*标注

返回顶部