剛剛注冊(cè)股票賬戶，就接到各種薦股推銷電話。”家住北京市大興區(qū)的周女士既驚訝又氣憤，她的信息怎么這么快就被眾多銷售人員“盯上”？

近日，知名漏洞響應(yīng)平臺(tái)曝光了多家銀行、券商、保險(xiǎn)、基金公司網(wǎng)站存在漏洞。2015年上半年中國(guó)金融機(jī)構(gòu)的互聯(lián)網(wǎng)安全漏洞數(shù)量快速增長(zhǎng)，投資者的個(gè)人信息、賬號(hào)密碼、交易記錄均存在被泄露的風(fēng)險(xiǎn)。

用戶核心數(shù)據(jù)漏洞快速增長(zhǎng)，銀證保基均有“中招”

記者從“烏云”“補(bǔ)天”等多家漏洞響應(yīng)平臺(tái)獲取的數(shù)據(jù)顯示，目前，已被曝出的金融機(jī)構(gòu)網(wǎng)站大小漏洞涉及國(guó)聯(lián)證券、中國(guó)人保等多家知名金融機(jī)構(gòu)，以及部分中小村鎮(zhèn)銀行、互聯(lián)網(wǎng)P2P平臺(tái)，漏洞主要集中在注入漏洞、跨站腳本攻擊、金融APP安全問(wèn)題等。這些漏洞不少已被金融機(jī)構(gòu)廠商確認(rèn)存在信息泄露等風(fēng)險(xiǎn)。

“互聯(lián)網(wǎng)安全問(wèn)題在保險(xiǎn)業(yè)、銀行業(yè)、證券業(yè)普遍存在。”國(guó)內(nèi)最大的漏洞報(bào)告平臺(tái)烏云負(fù)責(zé)人說(shuō)。

數(shù)家商業(yè)銀行“中招”，轉(zhuǎn)賬記錄可能泄露。今年7月以來(lái)，就有中國(guó)郵政儲(chǔ)蓄銀行、包商銀行在上述響應(yīng)平臺(tái)被曝出存在漏洞，目前大多數(shù)漏洞已被金融機(jī)構(gòu)確認(rèn)并修復(fù)。其中一份已修復(fù)的漏洞示例圖中，包商銀行網(wǎng)站某系統(tǒng)漏洞此前可被利用查看部分銀行轉(zhuǎn)賬記錄，包括轉(zhuǎn)賬金額、時(shí)間以及持卡人戶名、賬號(hào)、電話號(hào)碼等信息。

部分證券公司投資者開戶信息遭遇泄露風(fēng)險(xiǎn)。今年6月，國(guó)聯(lián)證券在某漏洞相應(yīng)平臺(tái)確認(rèn)其系統(tǒng)存在漏洞，可能泄漏信息；7月以來(lái)，國(guó)泰君安證券僅在某響應(yīng)平臺(tái)就被曝出多個(gè)漏洞，且均已被廠商確認(rèn)修復(fù)，其中一個(gè)注入漏洞被修復(fù)前被響應(yīng)平臺(tái)標(biāo)明為可能泄漏券商預(yù)約開戶人姓名、手機(jī)和郵箱。

一些基金公司、保險(xiǎn)公司交易信息、保單信息可能泄露。“補(bǔ)天”漏洞平臺(tái)數(shù)據(jù)顯示，中銀基金此前被曝出某系統(tǒng)漏洞涉及千萬(wàn)條個(gè)人信息，其中包括基金賬號(hào)和密碼，另有部分交易記錄遭遇泄露風(fēng)險(xiǎn)。中國(guó)人保系統(tǒng)此前還被曝出可未授權(quán)訪問(wèn)大量保單信息，包括姓名、身份證、學(xué)校等，公司確認(rèn)目前仍在修復(fù)中。

據(jù)了解，截至目前，上述金融機(jī)構(gòu)的大部分網(wǎng)站漏洞已被修補(bǔ)，但仍有部分長(zhǎng)期未修復(fù)。“金融機(jī)構(gòu)網(wǎng)站漏洞造成的危害主要包括能夠非法讀取、篡改、添加、刪除數(shù)據(jù)；私自添加或刪除賬號(hào)；注入木馬；盜取用戶賬戶、修改用戶設(shè)置、盜取敏感信息，因此危害相當(dāng)嚴(yán)重。”國(guó)內(nèi)最大的漏洞相應(yīng)平臺(tái)烏云負(fù)責(zé)人介紹，僅2015年上半年，已被金融機(jī)構(gòu)確認(rèn)、修復(fù)的自身網(wǎng)站安全漏洞的數(shù)量已超過(guò)去年同期，其中金融機(jī)構(gòu)網(wǎng)站高危和中危漏洞數(shù)量的總和，已占總體探知漏洞總數(shù)的97.2%。

股民信息6毛錢一條，電話推銷機(jī)構(gòu)為主要買家

金融機(jī)構(gòu)網(wǎng)站漏洞會(huì)給消費(fèi)者帶來(lái)怎樣的影響？業(yè)內(nèi)人士指出，部分敏感信息通過(guò)金融機(jī)構(gòu)網(wǎng)站漏洞泄露，最直接的影響是導(dǎo)致推銷電話騷擾乃至財(cái)產(chǎn)損失。例如，這些漏洞可能泄露大量用戶數(shù)據(jù)，如郵箱、手機(jī)、銀行賬號(hào)等。泄露的信息主要被用于電話銷售、欺詐投資等用途。

根據(jù)相關(guān)技術(shù)人員提供的線索，記者通過(guò)某即時(shí)通訊軟件聯(lián)系到了一家名為“全國(guó)股民電話資源”的聊天群，其中有不少“黃牛”在倒賣已泄露的開戶股民個(gè)人信息，數(shù)據(jù)報(bào)價(jià)0.6元/條。

在一份四川成都籍賣家提供的包含200名開戶股民電話的試用信息中，記者撥打了多個(gè)電話，均驗(yàn)證是在當(dāng)?shù)厝涕_戶不久的新客戶。而在部分賣家兜售的客戶信息中，標(biāo)明來(lái)源于數(shù)家知名券商機(jī)構(gòu)。一些賣家宣稱，可以“長(zhǎng)期專業(yè)從金融機(jī)構(gòu)提取一手優(yōu)質(zhì)投資者號(hào)碼”，范圍可以“精準(zhǔn)至各縣區(qū)”，隨時(shí)在售的包括銀行VIP、P2P理財(cái)、股民、貴金屬投資者等電話信息，“空號(hào)實(shí)時(shí)檢測(cè)，質(zhì)量絕對(duì)有保證，僅僅是QQ群平臺(tái)類似我們這樣的銷售群至少還有幾十家”。

來(lái)自名為“股民電話資源群”的一位QQ賣家告訴記者，股民、儲(chǔ)戶電話信息的購(gòu)買者主要是電話推銷機(jī)構(gòu)，其中不乏“倫敦金”等地下貴金屬、非法理財(cái)?shù)?ldquo;長(zhǎng)期買家”。

記者從多位賣家處了解到，通過(guò)第三方支付線上付款，個(gè)人信息被交易的過(guò)程不超過(guò)數(shù)分鐘。

多方均可能成為漏洞“制造者”，維權(quán)多無(wú)門仍待明確責(zé)任

國(guó)家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局副局長(zhǎng)楊春燕表示，當(dāng)前網(wǎng)絡(luò)個(gè)人信息泄漏現(xiàn)象十分嚴(yán)重，特別是銀行卡等金融敏感信息泄漏現(xiàn)象屢次發(fā)生，被一些不法分子利用從事違法犯罪行為，損害用戶利益。對(duì)此，國(guó)家高度重視，已在加強(qiáng)相關(guān)立法和標(biāo)準(zhǔn)制定，加強(qiáng)管理，出臺(tái)部門規(guī)章。同時(shí)開展專項(xiàng)打擊，加大宣傳力度。

據(jù)介紹，我國(guó)法律法規(guī)已明確金融機(jī)構(gòu)等廠商對(duì)客戶信息負(fù)有保護(hù)責(zé)任，其網(wǎng)站系統(tǒng)的個(gè)人信息保護(hù)建設(shè)須符合國(guó)家標(biāo)準(zhǔn)。例如，我國(guó)首個(gè)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》已正式實(shí)施。中國(guó)人民銀行也分別于2011年和2012年印發(fā)了《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》和《關(guān)于金融機(jī)構(gòu)進(jìn)一步做好客戶個(gè)人金融信息保護(hù)工作的通知》。

“然而，一方面，掌握龐大客戶資料和財(cái)務(wù)信息的金融機(jī)構(gòu)在互聯(lián)網(wǎng)開展金融業(yè)務(wù)，其運(yùn)行系統(tǒng)可能遭到黑客等存惡意目的人員的破壞，從中竊取相關(guān)信息。另一方面，銀行的專網(wǎng)內(nèi)網(wǎng)絡(luò)傳輸過(guò)程中對(duì)于用戶身份的辨別、管理，很可能存在造假或存在識(shí)別不夠的問(wèn)題。”國(guó)家信息中心專家委員會(huì)主任寧家駿說(shuō)。

“一些金融機(jī)構(gòu)自身技術(shù)和人為管理不善，是造成金融消費(fèi)者信息泄露的主要原因。”安全漏洞專家、杭州信息技術(shù)有限公司安全咨詢總監(jiān)馮旭杭說(shuō)。記者了解到，出于節(jié)約成本的要求，目前證券、公募投資基金等金融機(jī)構(gòu)的網(wǎng)上開戶交易系統(tǒng)多數(shù)交由軟件外包商開發(fā)、運(yùn)營(yíng)，但大多數(shù)軟件外包商對(duì)用戶信息安全表示“免責(zé)”，不提供任何信息安全方面的承諾。

中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院副院長(zhǎng)樊會(huì)文指出，盡管按照全國(guó)人大常委會(huì)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，遭遇信息泄漏的個(gè)人有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者刪除有關(guān)信息或者采取其他必要措施予以制止。但消費(fèi)者很難通過(guò)技術(shù)手段驗(yàn)證泄密源頭的責(zé)任，難以維權(quán)。“一旦發(fā)生資金被挪用，很多時(shí)候會(huì)出現(xiàn)各方推諉責(zé)任，有關(guān)個(gè)人信息隱私保護(hù)的法律法規(guī)尚待完善。”

記者了解到，目前國(guó)家網(wǎng)信辦、工信部、公安部等執(zhí)法部門已相繼開展了防范治理黑客地下產(chǎn)業(yè)鏈、打擊治理移動(dòng)惡意程序等系列專項(xiàng)打擊行動(dòng)，清除了大量從事黑客攻擊、病毒傳播的惡意IP地址、域名和移動(dòng)應(yīng)用程序，嚴(yán)厲打擊用戶信息竊取等網(wǎng)絡(luò)犯罪行為。

“除了監(jiān)管機(jī)構(gòu)，金融機(jī)構(gòu)也應(yīng)把其互聯(lián)網(wǎng)金融業(yè)務(wù)放在網(wǎng)絡(luò)安全、信息安全的新環(huán)境下考慮。”寧家駿認(rèn)為，一旦發(fā)現(xiàn)風(fēng)險(xiǎn)苗頭，金融機(jī)構(gòu)有責(zé)任及時(shí)處理；如果造成重大損害，監(jiān)管部門應(yīng)責(zé)令機(jī)構(gòu)賠償投資者損失。