3·15曝光证券业漏洞 系统泄露投资者信息
又一年“3·15”消费者权益保护日到来之际,证券期货经营机构的信息系统漏洞和安全隐患的蛰伏,成为关注焦点之一。
记者通过漏洞平台乌云(WooYun)调查发现,多家券商、基金的信息系统存在或曾存在漏洞或安全隐患,部分漏洞甚至将导致用户、员工存在账号、密码泄露或重置风险;但另一方面,部分被报告存在问题的机构选择了对漏洞进行忽略。
多券商存漏洞被忽略
据记者根据乌云不完全统计,自2015年以来,涉及证券行业的系统漏洞报告多达369项、涉及基金行业的多达175项,涉及期货行业的则为45项,合共达589项。
乌云网(WooYun)漏洞平台由前百度安全专家方小顿创立,其定位于一个位于厂商和安全研究者之间的安全问题反馈平台。
统计发现,仅在2016年内在乌云平台报告存在系统漏洞的证券期货机构数量就已不少于15家。其中,虽部分漏洞曾在乌云平台被提交,但仍有许多机构认为无影响而选择了“忽略”。
统计显示,仅在2016年内,已提交漏洞却被“忽略”的券商就包括西部证券、中信建投证券、东北证券、中航证券和恒泰证券等。
其中,XSS漏洞、SQL注入、弱口令等漏洞成为了前述机构存在的主要问题。例如今年1月恒泰证券人力资源管理系统就被披露存在“弱口令”问题,该漏洞易导致数千名员工姓名、身份证、邮箱、学历等信息出现泄露。
所谓弱口令,就是指系统用户口令存在容易被他人猜测或破解工具破解的问题。无独有偶的是,西部证券、中信建投证券等公司也存在“弱口令”问题。
“弱口令通俗的说就是密码比较简单,容易遭到程序暴力破解,比如密码用123456之类的。”一位BAT技术人士表示,“一些完善的系统在注册时会有防范弱口令防范机制,比如用简单密码无法成功注册。”
不过,该问题在乌云平台提交后,显示被恒泰证券所忽略。
“有的公司觉得问题不大的,可能就会选择忽略,但虽然注明了忽略,也仍然有可能做出修补措施。”一位接近乌云人士告诉记者。