多券商存系统漏洞被忽略 部分基金、期货也“中枪”
多券商存系统漏洞被忽略 部分基金、期货也“中枪”
【中国经营网注】随着互联网金融的发展与普及,投资者对于网络信息安全的关注正在日益高涨。
不过,调查发现,多家券商、基金的信息系统存在或曾存在漏洞或安全隐患,部分漏洞甚至将导致用户、员工存在账号、密码泄露或重置风险;但另一方面,部分被报告存在问题的机构选择了对漏洞进行忽略。
文章来自21世纪经济报道:
又一年“3·15”消费者权益保护日到来之际,证券期货经营机构的信息系统漏洞和安全隐患的蛰伏,成为关注焦点之一。
21世纪经济报道记者通过漏洞平台乌云(WooYun)调查发现,多家券商、基金的信息系统存在或曾存在漏洞或安全隐患,部分漏洞甚至将导致用户、员工存在账号、密码泄露或重置风险;但另一方面,部分被报告存在问题的机构选择了对漏洞进行忽略。
多券商存漏洞被忽略
据21世纪经济报道记者根据乌云不完全统计,自2015年以来,涉及证券行业的系统漏洞报告多达369项、涉及基金行业的多达175项,涉及期货行业的则为45项,合共达589项。
乌云网(WooYun)漏洞平台由前百度安全专家方小顿创立,其定位于一个位于厂商和安全研究者之间的安全问题反馈平台。
统计发现,仅在2016年内在乌云平台报告存在系统漏洞的证券期货机构数量就已不少于15家。其中,虽部分漏洞曾在乌云平台被提交,但仍有许多机构认为无影响而选择了“忽略”。
统计显示,仅在2016年内,已提交漏洞却被“忽略”的券商就包括西部证券、中信建投证券、东北证券、中航证券和恒泰证券等。
其中,XSS漏洞、SQL注入、弱口令等漏洞成为了前述机构存在的主要问题。例如今年1月恒泰证券人力资源管理系统就被披露存在“弱口令”问题,该漏洞易导致数千名员工姓名、身份证、邮箱、学历等信息出现泄露。
所谓弱口令,就是指系统用户口令存在容易被他人猜测或破解工具破解的问题。无独有偶的是,西部证券、中信建投证券等公司也存在“弱口令”问题。
“弱口令通俗的说就是密码比较简单,容易遭到程序暴力破解,比如密码用123456之类的。”一位BAT技术人士表示,“一些完善的系统在注册时会有防范弱口令防范机制,比如用简单密码无法成功注册。”
不过,该问题在乌云平台提交后,显示被恒泰证券所忽略。
“有的公司觉得问题不大的,可能就会选择忽略,但虽然注明了忽略,也仍然有可能做出修补措施。”一位接近乌云人士告诉记者。
部分基金、期货“中枪”
信息系统安全隐患并不止于证券公司,一些基金公司和期货公司也存在类似问题。
例如部分机构还存在SQL注入漏洞,即通过插入SQL命令到相应的表单或页面来达到欺骗服务器、获取数据库信息等目的。“这也容易导致用户信息遭遇泄露。”前述BAT技术人士称。
据乌云平台披露,易方达基金某网站就被曝存在SQL注入漏洞,该漏洞同样显示被“厂商忽略”;其产生的原因来自于与其合作的一款网络在线沟通软件“Live800系统”。但据易方达基金方面称,该漏洞已于去年完成修复。