3·15曝光证券业漏洞 系统泄露投资者信息

又一年“3·15”消费者权益保护日到来之际，证券期货经营机构的信息系统漏洞和安全隐患的蛰伏，成为关注焦点之一。

记者通过漏洞平台乌云(WooYun)调查发现，多家券商、基金的信息系统存在或曾存在漏洞或安全隐患，部分漏洞甚至将导致用户、员工存在账号、密码泄露或重置风险；但另一方面，部分被报告存在问题的机构选择了对漏洞进行忽略。

多券商存漏洞被忽略

据记者根据乌云不完全统计，自2015年以来，涉及证券行业的系统漏洞报告多达369项、涉及基金行业的多达175项，涉及期货行业的则为45项，合共达589项。

乌云网(WooYun)漏洞平台由前百度安全专家方小顿创立，其定位于一个位于厂商和安全研究者之间的安全问题反馈平台。

统计发现，仅在2016年内在乌云平台报告存在系统漏洞的证券期货机构数量就已不少于15家。其中，虽部分漏洞曾在乌云平台被提交，但仍有许多机构认为无影响而选择了“忽略”。

统计显示，仅在2016年内，已提交漏洞却被“忽略”的券商就包括西部证券、中信建投证券、东北证券、中航证券和恒泰证券等。

其中，XSS漏洞、SQL注入、弱口令等漏洞成为了前述机构存在的主要问题。例如今年1月恒泰证券人力资源管理系统就被披露存在“弱口令”问题，该漏洞易导致数千名员工姓名、身份证、邮箱、学历等信息出现泄露。

所谓弱口令，就是指系统用户口令存在容易被他人猜测或破解工具破解的问题。无独有偶的是，西部证券、中信建投证券等公司也存在“弱口令”问题。

“弱口令通俗的说就是密码比较简单，容易遭到程序暴力破解，比如密码用123456之类的。”一位BAT技术人士表示，“一些完善的系统在注册时会有防范弱口令防范机制，比如用简单密码无法成功注册。”

不过，该问题在乌云平台提交后，显示被恒泰证券所忽略。

“有的公司觉得问题不大的，可能就会选择忽略，但虽然注明了忽略，也仍然有可能做出修补措施。”一位接近乌云人士告诉记者。