3·15曝光证券业漏洞 系统泄露投资者信息（2）

部分基金、期货“中枪”

信息系统安全隐患并不止于证券公司，一些基金公司和期货公司也存在类似问题。

例如部分机构还存在SQL注入漏洞，即通过插入SQL命令到相应的表单或页面来达到欺骗服务器、获取数据库信息等目的。“这也容易导致用户信息遭遇泄露。”前述BAT技术人士称。

据乌云平台披露，易方达基金某网站就被曝存在SQL注入漏洞，该漏洞同样显示被“厂商忽略”；其产生的原因来自于与其合作的一款网络在线沟通软件“Live800系统”。但据易方达基金方面称，该漏洞已于去年完成修复。

此外，相应的设计缺陷也曾存在于部分期货公司，例如国都期货官网主站就被曝存在权限漏洞，而该问题易导致其注册会员的用户名、电话、邮箱、姓名等相关资料出现泄露；此外，国都期货网站被曝还存在XSS漏洞等问题。

根据乌云一份关于国都期货系统问题的报告披露，只要用户注册国都期货会员账号，便可通过点击用户名和跳转页面的方法发现网址连接中的用户参数，而通过修改这一参数，就可获得其他会员的注册信息。

值得注意的是，在该报告通过乌云提交至国都期货后，其收到的厂商回应为“无影响，厂商忽略”。

记者尝试通过前述方法查阅注册用户信息，发现多数用户信息泄露问题已被国都期货所修补屏蔽，但仍有部分用户的个人信息可被检索。

业内人士认为，如用户信息因系统漏洞遭到泄露的可能性，容易给用户带来被电话骚扰等诸多影响。

“一些客户可能也是高净值人群，这部分个人信息如果不能被机构好好保护，一旦泄露将会给客户的生活带来打扰。”汇金系旗下一家券商营业部负责人表示，“但这种问题出现后维权很麻烦，因为这类信息很难知道是从哪条渠道泄露出去的，所以也容易引发纠纷，到头来又成了营业部的风险。”

漏洞频出引反思

值得注意的是，部分机构存在多次被曝出存在漏洞的情况。

以华夏基金为例，仅2015年以来，就有多达8项系统漏洞被乌云平台所披露，其中涉及权限逾越、任意文件读取、XXS漏洞等多种问题；恒泰证券同期被暴露的问题也多达6项，而国泰君安证券在去年被曝存在漏洞次数更是达24次之多。

值得一提的是，上述漏洞若未被涉事机构所忽略，大多数都已完成修补，但其频繁出现的状况仍然引发了业内对证券期货经营机构系统安全性建设的反思。

“其实IT系统存在BUG是正常的，也是可以被接受的，只是看不同行业，像金融业对系统漏洞的容忍度应该比较低，因为涉及到资金往来，许多信息更加敏感，所以一旦出现外泄后果也更严重。”一位熟悉金融业务的BAT技术人士称，“但许多机构IT系统建设时间比较短，有的是直接采购，有的则自己做，但整体成熟度有待提高。”

“一些漏洞如果被利用，造成内网信息外泄的后果可能很严重，比如黑客会利用漏洞盗取用户信息，甚至查看到券商的交易动作，进而从事内幕交易。”广东一家券商合规部经理认为。

而在信息安全人士看来，随着互联网金融的渗透，IT技术在金融业务中的应用更加广泛，证券期货经营机构应进一步提高IT系统的风控标准，适应新形势下的网络安全要求。

“想"零漏洞"几乎是不可能的，很多国际顶尖IT公司的系统也会有漏洞被发现，但金融机构应尽可能减少漏洞出现的频率。”前述BAT技术人士称，“如果一个机构反复出现漏洞，说明它并没有重视系统建设这块，所以才头痛医头、脚痛医脚。”

而也有业内人士认为，应从监管的角度对证券类机构系统漏洞的现象加强管理、明确权责。

“应从监管的高度提高对机构信息系统的监管标准，尽可能避免系统过多出现漏洞。”前述合规部经理表示，“许多时候权责也需明确，比如一些券商用的外部系统造成了客户信息外泄，这时责任应由券商还是应由软件方负担，也应该讲清楚。”