沃通SSL证书
包商银行网站被曝存漏洞 可致大量信息泄露
2015-09-17
一直以来标榜自己比互联网金融风控、安全技术更优的商业银行如今也中招。近日,来自“乌云”、“补天”等多家漏洞响应平台的数据显示,部分银行网站存在漏洞,银行转账记录、交易时间、持卡人户名、账户等信息存泄露风险。
例如,最近被曝出网站系统存在漏洞的包商银行可被利用查看部分银行转账记录,包括转账金额、时间以及持卡人户名、账号、电话号码等信息。据了解,该漏洞现在已被包商银行修复。
不仅如此,此前百度安全、乌云都曾发布警告,某大型银行网银存在重大漏洞。百度安全指出,该银行网银助手等安全控件存在“灾难级”漏洞,该漏洞可致远程任意代码执行,对用户电脑安全造成极大危害。乌云则对该漏洞给出了详细的说明,该漏洞的具体执行过程为:该行网银控件在安装和每次启动时,会自动检查网银环境,这时它会将自家网站地址添加到IE的受信任站点列表里,并且把“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”的开关设置为启动。
一旦启用了这一选项,信用站点列表中的网站可以无需用户许可即能执行高危代码,比如打开任意程序、读写本地文件。不仅如此,很多ActiveX会将自身的域名写入“受信任列表”,降低了黑客攻击难度,从而导致风险扩大。故而当用户访问“受信任列表”中的网站时(如网购的时候),将可能会遭遇恶意攻击(黑客采用XSS攻击、DNS劫持、WiFi钓鱼等手段,在公共网络环境下的风险尤为严重),通过执行任意恶意代码,给电脑带来极高风险。
近年来,网络安全问题日趋严重,相关报告指出,网民因为网络诈骗、垃圾信息、个人信息泄露等侵权现象而产生的损失达千亿元。那么,金融机构网站漏洞会给消费者带来怎样的影响?专家表示,部分敏感信息通过金融机构网站漏洞泄露,最直接的影响是导致推销电话骚扰乃至财产损失。例如,这些漏洞可能泄露大量用户数据,如邮箱、手机、银行账号等。泄露的信息主要被用于电话销售、欺诈投资等用途。
中国电子信息产业发展研究院副院长樊会文指出,按照全国人大常委会《关于加强网络信息保护的决定》,遭遇信息泄露的个人有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。但实际情况是,消费者很难通过技术手段验证泄密源头的责任,难以维权。在维权难的现实下,客户只能尽量降低自身风险,包括保护好敏感信息和动态交易码,不要轻信不明电话和短信,留意短信中的提示网站是否与银行对外公布的网站域名一致。另外,网上支付、转账,网上购物认准HTTPS加密链接,银行网站和大型正规购物网站都会部署SSL证书实现HTTPS加密数据,效防止账号密码等信息被窃取和篡改,如果遇到未经HTTPS加密的银行支付链接或者购物支付链接存在被钓鱼风险,请谨慎访问。
