近日,相關(guān)媒體報道稱:包商銀行網(wǎng)站系統(tǒng)存在漏洞,可被利用查看部分銀行轉(zhuǎn)賬記錄。
結(jié)合此前:多家互聯(lián)網(wǎng)金融機構(gòu)被爆出存在安全隱患,其中包括國聯(lián)證券、中國人保等,而漏洞主要是注入漏洞、跨站腳本攻擊、金融APP安全問題等,并且這些漏洞不少已被金融機構(gòu)廠商確認(rèn)存在信息泄露風(fēng)險等情況。
互聯(lián)網(wǎng)安全問題再次進入人們的視線。
互聯(lián)網(wǎng)漏洞
下面是在烏云網(wǎng)站(一個位于廠商和安全研究者之間的漏洞報告平臺)最新的漏洞信息的截圖:
由此可見,互聯(lián)網(wǎng)漏洞每天都在發(fā)生,但我們卻是或熟視無睹或一無所知。
漏洞多發(fā)領(lǐng)域
對于互聯(lián)網(wǎng)漏洞,國內(nèi)最大的漏洞報告平臺“烏云”的負(fù)責(zé)人曾說:“互聯(lián)網(wǎng)安全問題在保險業(yè)、銀行業(yè)、證券業(yè)普遍存在。”
但是,互聯(lián)網(wǎng)漏洞卻遠遠不止這些互聯(lián)網(wǎng)領(lǐng)域。
他還存在于互聯(lián)網(wǎng)電商行業(yè)、互聯(lián)網(wǎng)注冊網(wǎng)站等等許多地方。
互聯(lián)網(wǎng)金融
隨著互聯(lián)網(wǎng)的誕生,銀行家們開始發(fā)展網(wǎng)上銀行等相關(guān)業(yè)務(wù),由于它的便捷性和易操作性受到很多用戶的喜歡。但是,在這些便利性的后面卻隱藏著巨大的安全隱患。
金融行業(yè)牽扯到人民生活的方方面面,每年從CDP數(shù)據(jù),我們就可以看出在這個行業(yè)所涉及到的金錢大概有多少。也因為如此,所以在這樣的一個特殊的行業(yè)里,總是會有這樣或那樣的安全漏洞問題出現(xiàn)。
據(jù)報道,漏洞盒子安全研究團隊對今年上半年全網(wǎng)1248個漏洞和133個安全事件分門別類的整理后發(fā)現(xiàn):金融行業(yè)(保險、銀行、證券、互聯(lián)網(wǎng)金融)漏洞總量較2014年增長181.9%。數(shù)量幾乎涉及到全國近100家互聯(lián)網(wǎng)金融平臺。
保險業(yè)占金融行業(yè)中漏洞數(shù)比例最高,達到27.1%;
互聯(lián)網(wǎng)金融占金融行業(yè)的26.1%,位居第二;
銀行漏洞數(shù)量占23.3%;
證券行業(yè)占15.2%;
其他占8.3%。
互聯(lián)網(wǎng)金融銀行、證券行業(yè)等互聯(lián)網(wǎng)安全漏洞的產(chǎn)生跟近些年來開戶人數(shù)的增多,資金交流的頻繁、各方面監(jiān)管不嚴(yán)都有密切的關(guān)系。
在互聯(lián)網(wǎng)金融方面,目前主要有以下幾種類型的漏洞狀況:
(1)權(quán)限越權(quán)操作
主要是由于不安全對象引用和功能級別訪問控制缺失所導(dǎo)致,比如說“越級上報”,最近新出的一個安全漏洞即華安保險網(wǎng)上理賠系統(tǒng)后臺JBoss無驗證導(dǎo)致上傳webhshell,遠程腳本執(zhí)行敏感信息泄露,就屬于這種越權(quán)操作的行為,當(dāng)然此行為有時會是黑客所為,有時卻是金融系統(tǒng)管理不善導(dǎo)致。
(2)用戶密碼重置
網(wǎng)上辦理業(yè)務(wù)時密碼被盜取,銀行里的錢不翼而飛,這種情況通常與密保電話、密保郵箱等密碼被盜取有關(guān)。許多的金融業(yè)務(wù)的平臺都存在“動態(tài)密碼”,即用戶輸入手機或是郵箱時,因為某些系統(tǒng)的保密性不足,手機號碼和相關(guān)用戶名等信息被竊取和重置,給用戶帶來損失。
其實我們時時刻刻都在在經(jīng)歷類似的操作,比如唯品會、天貓、京東等等電商平臺上的那些支付程序和密碼重置程序,也有著類似的信息安全問題。
(3)信息泄露
信息泄露是互聯(lián)網(wǎng)安全漏洞頻發(fā)的主要原因。在一些網(wǎng)上銀行、互聯(lián)網(wǎng)保險業(yè)務(wù)等行業(yè)里,經(jīng)常會要求在網(wǎng)上輸入用戶的個人相關(guān)信息,如果某些信息在審查過程中監(jiān)管不到位,那么這樣的信息泄露事件就非常容易發(fā)生。
互聯(lián)網(wǎng)電商支付
近些年來,隨著京東、淘寶、1號店等電商的崛起,每天在網(wǎng)站上消費的人群也越來越多,消費者在網(wǎng)上需要驗證支付的人群也就越來越多,用戶注冊以及金錢交易方面所要涉及的面也就越來越廣,信息安全的管理上也經(jīng)常出現(xiàn)漏洞。
(1)信息保管漏洞
比如說:由于保管不當(dāng),許多信息在處理的過程中就會出現(xiàn)一些不同程度上的錯誤和遺失,從而導(dǎo)致安全問題的出現(xiàn)。
例如,2014年的小米論壇遭“脫褲”事件,約有800萬小米社區(qū)用戶數(shù)據(jù)泄漏。事件發(fā)生后,不少用戶反應(yīng)收到詐騙電話,電話另一端能提供包括姓名、地址、電話、商品購買記錄、密碼、郵箱、注冊IP等用戶的準(zhǔn)確信息。
(2)惡意盜刷漏洞
這樣的事件其實已屢見不鮮,主要是存在于銀行業(yè)務(wù)方面,但是隨著第三方支付平臺的興起,惡意盜刷軟件也蔓延到了網(wǎng)上支付平臺。
比較出名的例子當(dāng)屬上半年的一款名為“心臟出血”的重大安全漏洞,此漏洞以迅雷不及掩耳之勢侵入電商支付接口、網(wǎng)絡(luò)銀行等,竊取用戶賬戶信息。據(jù)統(tǒng)計,受其影響到的人群達到2億。
(3)權(quán)限越過漏洞
今日在神話黑客聯(lián)盟的官網(wǎng)上,就出現(xiàn)這一漏洞:阿里云管理后臺權(quán)限繞過漏洞,不法分子可直接繞過網(wǎng)站權(quán)限修改用戶的個人信息等等。
互聯(lián)網(wǎng)其它網(wǎng)站
網(wǎng)站是互聯(lián)網(wǎng)最重要的組成部分,也是互聯(lián)網(wǎng)漏洞的重點高發(fā)區(qū)域,每年基本上都會出現(xiàn)或多或少的網(wǎng)站信息漏洞事件,影響甚廣。
而這些漏洞的類型也都是大同小異:
比如:與我們的出行密切相關(guān)的12306網(wǎng)站就經(jīng)常出現(xiàn)高峰時段癱瘓、驗證碼復(fù)雜難以登陸、串號等這樣的漏洞事件,嚴(yán)重時會導(dǎo)致大量用戶信息遭泄露,影響甚廣;
曾經(jīng)的世紀(jì)佳緣在這個方面也曾經(jīng)出現(xiàn)過數(shù)據(jù)泄露整站源碼事件;
微軟這個互聯(lián)網(wǎng)大佬也在這個方面相當(dāng)頭疼:據(jù)悉,截止到今年9月8日:微軟發(fā)布12個新的安全公告,微軟今年的安全漏洞已經(jīng)有105個,涉及的方面主要有Windows日記本、微軟圖形組件、IE瀏覽器和新的Edge瀏覽器等方面出現(xiàn)的漏洞。
漏洞背后
烏云網(wǎng)站“漏洞列表”部分?jǐn)?shù)據(jù)
其實縱觀這些互聯(lián)網(wǎng)出現(xiàn)的漏洞,我們會發(fā)現(xiàn)漏洞形式五花八門。但總結(jié)起來主要有以下幾個方面的漏洞類型,也就是我們上面所提到的:
1、權(quán)限漏洞
比如,越過權(quán)限,冒充用戶竊取用戶個人信息等等。
2、信息泄露漏洞
網(wǎng)站本身的操作不當(dāng)或是網(wǎng)站本身就存在這些漏洞也會造成用戶信息被泄露的風(fēng)險。
3、惡意軟件攻擊漏洞
這類主要是由一些所謂的網(wǎng)絡(luò)黑客故意攻擊而產(chǎn)生的漏洞。比如:SQL注入攻擊就是黑客對數(shù)據(jù)庫進行攻擊的常用手段。
在這些漏洞的背后,折射出的還是互聯(lián)網(wǎng)程序開發(fā)領(lǐng)域的不足:
無論是金融還是電商亦或是其他的網(wǎng)站上,程序代碼之間環(huán)環(huán)相扣,每一個環(huán)節(jié)的錯誤都有可能變成一個漏洞而受到不法分子的入侵。如果再加上工作人員的操作不當(dāng)或管理不善,那么漏洞的存在就會更加的輕而易舉。
而黑客的存在和互聯(lián)網(wǎng)監(jiān)管的不力就更加助長了漏洞的囂張氣焰,讓漏洞變得更加猖獗。
結(jié)語
雖然,中國網(wǎng)絡(luò)安全問題國家一直非常重視:專門成立以習(xí)近平主席為組長的中央網(wǎng)絡(luò)安全和信息化小組;
央行等部委也發(fā)布過諸如《關(guān)于促進互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》、《非銀行支付機構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》等文件。
但是根據(jù)上述烏云網(wǎng)站的最新數(shù)據(jù)顯示這些措施要么收效甚微要么因為政策出臺太緩慢影響有限。
隨著信息時代的到來,互聯(lián)網(wǎng)的發(fā)展進入到普及化的階段,網(wǎng)絡(luò)安全問題時時刻刻都在影響著人們的生產(chǎn)生活,它一日未解決直接關(guān)系到整個社會的安定和繁榮。
但我們也知道互聯(lián)網(wǎng)是開放的場所,也正因為它的開放性讓漏洞的解決變得更加艱巨和艱難。
京公網(wǎng)安備 11010502049343號