近日,有媒体报道称,浙江互联网金融平台铜掌柜存在系统安全问题。根据补天漏洞响应平台曝光的数据,铜掌柜系统存在的漏洞,可能导致60万用户大量敏感信息泄露,包括姓名、手机、银行卡和密码。该漏洞提交于12月1日,被定性为事件型漏洞,官方评级高危,目前仍处于通知厂商中。
对此,铜掌柜首席信息官金少策在12月20日在接受《每日经济新闻》记者采访时表示,经与技术部门核实,该漏洞于12月1日由“白帽子”发现并提交到某漏洞响应平台,并在12月9日进行了修复,期间并未出现任何用户信息被泄露。
铜掌柜泄漏
记者注意到,近年来因网站漏洞造成数据泄露的事件不少,如此前的12306网站用户隐私信息泄露、30省市社保信息泄露等,由漏洞而引发的安全事件不仅给用户带来烦恼,也给相关企业造成了直接或者间接的经济损失,严重影响了企业和行业形象。
网络安全专家、北京白帽汇科技有限公司CEO赵武在接受《每日经济新闻》采访时表示,目前国内网站存在安全漏洞是普遍现象,很多领域都存在,希望相关政府部门和公司能够引起足够重视。
铜掌柜:漏洞存在 数据有保障
据了解,上述漏洞响应平台对漏洞的定义分为通用漏洞与事件漏洞两种。其中,事件漏洞(即非通用型漏洞),主要是指互联网上应用的一个具体漏洞,例如,某网站命令执行可被渗透、某网站应用SQL注入可导致信息泄露等。
此次铜掌柜的系统漏洞为事件型。根据上述响应平台信息显示,12月1日,铜掌柜漏洞打包可能泄露用户信息被“白帽子”提交发布到平台,官方评级为高危;12月14日,国家互联网应急响应中心回复称确认漏洞,危害等级为中等。
“此前,我们已经完成了修复,但忽略了在响应平台上的确认。近日,我们已正式向该漏洞响应平台确认回复”,金少策表示,“目前铜掌柜数据安全与阿里云合作,平台数据安全由阿里云提供保障。”
“通用型、事件型;低危漏洞、中危漏洞、高危漏洞,这些是在技术上对漏洞的划分。很多黑客在利用这些漏洞的过程,可能是一个,也可能是多个漏洞结合。最终黑客的目的很简单,就是偷数据。”赵武说,比如你购买了一个P2P理财产品,网站系统存在漏洞,黑客就有可能能入侵你的账户,即使无法把你的钱转走,但是可以把你的身份证号、手机号等信息拿走,然后去做一些诈骗之类的行为。
P2P行业技术安全需加大投入
“目前,国内网站存在安全漏洞是极其普遍的现象。只要你存在漏洞,就很可能已经被地下产业的黑客利用了。”赵武分析表示。
根据中国互联网协会和国家互联网应急中心发布的《中国互联网站发展状况及其安全报告(2014)》内容显示,2013 年,互联网黑客地下产业仍然较为活跃。黑客地下产业的逐利性特点日趋明显,以网络欺诈、讹诈为代表的拒绝服务以及仿冒网站是黑客重要的得利渠道。信息系统漏洞特别是高危漏洞呈现逐年递增趋势,这给黑客发起大规模网络攻击或针对重要价值目标发起攻击提供了便利条件。
赵武表示,随着国家“互联网+”战略的提出,很多互联网金融公司雨后春笋般涌现。这些公司在发展过程中,除了关注用户规模、成交量规模的发展外,也应加强信息安全建设。比如,成立信息安全部门、积极和行业内的安全信息公司建立联系、对于行业内发生的数据泄露事件,积极采取补救措施等手段,从多方面去筑起一道信息安全的“篱笆”。
风险控制对于互联网金融企业的重要意义不言而喻,技术层面的网络安全风险与控制,也是非常重要的一个环节。对于部分创业阶段的小平台来说,网络安全本身是一个很尴尬的问题,因为没有绝对的安全,投入再多钱,也不能保证不出事故。很多小平台的运营者就会心存侥幸,“反正花钱出事,不花钱也出事,还不如少花钱”。与之形成鲜明对比的是,目前走在行业前列的P2P平台,在安全投入、房屋措施反面加大了投入。随着行业的发展,越来越多实力“玩家”进入后,技术门槛或将有所提升。
|
还没有用户评论, 快来抢沙发!