食品安全測試企業Tellspec公司CTO兼前銀行軟件開發者杰森·科爾斯表示，他們在偶然之間發現由位于印度加爾各答的軟件開發商Tata公司的員工在公共GitHub代碼庫當中上傳大量涉及金融機構的源代碼與內部文件。在歸檔文件當中，他們發現了開發筆記、原始源代碼、Web銀行代碼開發規劃內部報告以及與各外包合作伙伴間的往來通話記錄。

這些文件所涉及的源代碼與六家大型加拿大銀行、兩家著名美國金融機構、一家跨國銀行以及一家市值達數十億美元的金融軟件廠商有關。利用這些數據，正在著手開發類似功能的競爭企業以及可能利用設計中安全漏洞竊取數百萬用戶個人信息的網絡犯罪分子將獲得顯著的提示與收益。

科爾斯在上周接受采訪時指出，“好消息是，其中并不包括任何銀行客戶數據，文件內容以輔助數據為主。不過其中仍然存在大量可被利用的素材——除了黑客群體之外，各相關企業的競爭對手還可借此把握前者的運營動態與思路，這無疑是一次巨大的常識性失誤。”

這些信息足以引發嚴重的后續影響……出于安全考慮，我們對所泄露的部分數據的截圖進行了編輯。

在泄露問題警告發布之后，各受影響企業本應快速作出反應——然而根據實際情況來看，事實并非如此。目前于加拿大多倫多工作的科爾斯表示，他親自前往各涉事加拿大銀行發出提醒，但對方卻選擇坐視不理。

相比之下，美國各金融機構的態度則非常積極，據稱其已經立即對此采取應對措施。GitHub短時間內即將這批文件進行了刪除。Tata公司并沒有回應記者提出的評論請求。截至目前，出于安全考慮，受影響客戶的具體名稱已經被納入保密范疇。

科爾斯在采訪當中強調稱，他個人對于加拿大各銀行的頑固態度并不意外，事實上他多年來一直在發出類似的安全風險提醒，但情況并未出現什么顯著改善。

科爾斯表示，加拿大與美國在文化層面存在著巨大差異。加拿大人并不希望為安全信息付費，而他本人當然也不可能以免費方式提供自己的勞動成果。而在美國，科爾斯已經在前往多倫多的同一天在飛機上與多家公司進行了遠程會談，他們樂于購買科爾斯的發現并在當天晚上進一步就問題進行了討論。

科爾斯曾針對加拿大銀行軟件出版過一本名為《我的人沒出錯，我的企業沒問題！》的論著，他表示研究結果顯示每二十五家加拿大銀行當中，就有九家面臨著釣魚攻擊風險。

他表示，銀行應用“會暴露大量數據——每一項交易會在瀏覽器上產生40 MB相關信息”。然而，絕大多數手機銀行應用都沒能付出足夠的努力以保護其通信內容。

法裔商業金融房屋置業銀行Scotiabank正是科爾斯提到的典型目標之一。根據我們得到的消息，該銀行的應用并非始終利用HTTPS進行網絡連接。

他總結稱，“目前至少有上百萬用戶在使用不安全的銀行應用，因此導致嚴重后果恐怕將只是時間問題。這樣的狀況令人憂心：如果再不加以重視，那么最終他們連哭都來不及。”