证券业589项系统漏洞暴露 或导致投资者信息泄露

来源:百度文库 编辑:超级军网 时间:2024/03/29 19:57:05
又一年“3·15”消费者权益保护日到来之际,证券期货经营机构的信息系统漏洞和安全隐患的蛰伏,成为关注焦点之一。

  21媒体记者通过漏洞平台乌云(WooYun)调查发现,多家券商、基金的信息系统存在或曾存在漏洞或安全隐患,部分漏洞甚至将导致用户、员工存在账号、密码泄露或重置风险;但另一方面,部分被报告存在问题的机构选择了对漏洞进行忽略。

       多券商存漏洞被忽略
  据21媒体记者根据乌云不完全统计,自2015年以来,涉及证券行业的系统漏洞报告多达369项、涉及基金行业的多达175项,涉及期货行业的则为45项,合共达589项。

  乌云网(WooYun)漏洞平台由前百度安全专家方小顿创立,其定位于一个位于厂商和安全研究者之间的安全问题反馈平台。

  统计发现,仅在2016年内在乌云平台报告存在系统漏洞的证券期货机构数量就已不少于15家。其中,虽部分漏洞曾在乌云平台被提交,但仍有许多机构认为无影响而选择了“忽略”。

  统计显示,仅在2016年内,已提交漏洞却被“忽略”的券商就包括西部证券(002673)、中信建投证券、东北证券(000686)、中航证券和恒泰证券等。

        漏洞频出引反思
  值得注意的是,部分机构存在多次被曝出存在漏洞的情况。

  以华夏基金为例,仅2015年以来,就有多达8项系统漏洞被乌云平台所披露,其中涉及权限逾越、任意文件读取、XXS漏洞等多种问题;恒泰证券同期被暴露的问题也多达6项,而国泰君安证券在去年被曝存在漏洞次数更是达24次之多。

  值得一提的是,上述漏洞若未被涉事机构所忽略,大多数都已完成修补,但其频繁出现的状况仍然引发了业内对证券期货经营机构系统安全性建设的反思。

  “其实IT系统存在BUG是正常的,也是可以被接受的,只是看不同行业,像金融业对系统漏洞的容忍度应该比较低,因为涉及到资金往来,许多信息更加敏感,所以一旦出现外泄后果也更严重。”一位熟悉金融业务的BAT技术人士称,“但许多机构IT系统建设时间比较短,有的是直接采购,有的则自己做,但整体成熟度有待提高。”

  “一些漏洞如果被利用,造成内网信息外泄的后果可能很严重,比如黑客会利用漏洞盗取用户信息,甚至查看到券商的交易动作,进而从事内幕交易。”广东一家券商合规部经理认为。

    http://www.cfi.net.cn/p20160316000037.html又一年“3·15”消费者权益保护日到来之际,证券期货经营机构的信息系统漏洞和安全隐患的蛰伏,成为关注焦点之一。

  21媒体记者通过漏洞平台乌云(WooYun)调查发现,多家券商、基金的信息系统存在或曾存在漏洞或安全隐患,部分漏洞甚至将导致用户、员工存在账号、密码泄露或重置风险;但另一方面,部分被报告存在问题的机构选择了对漏洞进行忽略。

       多券商存漏洞被忽略
  据21媒体记者根据乌云不完全统计,自2015年以来,涉及证券行业的系统漏洞报告多达369项、涉及基金行业的多达175项,涉及期货行业的则为45项,合共达589项。

  乌云网(WooYun)漏洞平台由前百度安全专家方小顿创立,其定位于一个位于厂商和安全研究者之间的安全问题反馈平台。

  统计发现,仅在2016年内在乌云平台报告存在系统漏洞的证券期货机构数量就已不少于15家。其中,虽部分漏洞曾在乌云平台被提交,但仍有许多机构认为无影响而选择了“忽略”。

  统计显示,仅在2016年内,已提交漏洞却被“忽略”的券商就包括西部证券(002673)、中信建投证券、东北证券(000686)、中航证券和恒泰证券等。

        漏洞频出引反思
  值得注意的是,部分机构存在多次被曝出存在漏洞的情况。

  以华夏基金为例,仅2015年以来,就有多达8项系统漏洞被乌云平台所披露,其中涉及权限逾越、任意文件读取、XXS漏洞等多种问题;恒泰证券同期被暴露的问题也多达6项,而国泰君安证券在去年被曝存在漏洞次数更是达24次之多。

  值得一提的是,上述漏洞若未被涉事机构所忽略,大多数都已完成修补,但其频繁出现的状况仍然引发了业内对证券期货经营机构系统安全性建设的反思。

  “其实IT系统存在BUG是正常的,也是可以被接受的,只是看不同行业,像金融业对系统漏洞的容忍度应该比较低,因为涉及到资金往来,许多信息更加敏感,所以一旦出现外泄后果也更严重。”一位熟悉金融业务的BAT技术人士称,“但许多机构IT系统建设时间比较短,有的是直接采购,有的则自己做,但整体成熟度有待提高。”

  “一些漏洞如果被利用,造成内网信息外泄的后果可能很严重,比如黑客会利用漏洞盗取用户信息,甚至查看到券商的交易动作,进而从事内幕交易。”广东一家券商合规部经理认为。

    http://www.cfi.net.cn/p20160316000037.html