每经编辑 每经记者 施娜
◎每经记者 施娜
近日有消息称,浙江一互联网金融平台铜掌柜存在系统安全问题,导致平台60万用户大量敏感信息泄露。
对此,铜掌柜首席信息官金少策昨日(12月20日)在接受《每日经济新闻》记者采访时表示,经与技术部门核实,该漏洞于12月1日由“白帽子”发现并提交到某漏洞响应平台,并在12月9日进行了修复,期间并未出现任何用户信息被泄露。
记者注意到,近年来因网站漏洞造成数据泄露的事件不少,如此前的12306网站用户隐私信息泄露、30省市社保信息泄露等,由漏洞而引发的安全事件不仅给用户带来烦恼,也给相关企业造成了直接或者间接的经济损失,严重影响了企业和行业形象。
网络安全专家、北京白帽汇科技有限公司CEO赵武在接受《每日经济新闻》采访时表示,目前国内网站存在安全漏洞是普遍现象,很多领域都存在,希望相关政府部门和公司能够引起足够重视。
公司:平台数据有保障
据了解,上述漏洞响应平台对漏洞的定义分为通用漏洞与事件漏洞两种。其中,事件漏洞(即非通用型漏洞),主要是指互联网上应用的一个具体漏洞,例如,某网站命令执行可被渗透、某网站应用SQL注入可导致信息泄露等。
此次铜掌柜的系统漏洞为事件型。根据上述响应平台信息显示,12月1日,铜掌柜漏洞打包可能泄露用户信息被“白帽子”提交发布到平台,官方评级为高危;12月14日,国家互联网应急响应中心回复称确认漏洞,危害等级为中等。
“此前,我们已经完成了修复,但忽略了在响应平台上的确认。近日,我们已正式向该漏洞响应平台确认回复”,金少策表示,“目前铜掌柜数据安全与阿里云合作,平台数据安全由阿里云提供保障。”
“通用型、事件型;低危漏洞、中危漏洞、高危漏洞,这些是在技术上对漏洞的划分。很多黑客在利用这些漏洞的过程,可能是一个,也可能是多个漏洞结合。最终黑客的目的很简单,就是偷数据。”赵武说,比如你购买了一个P2P理财产品,网站系统存在漏洞,黑客就有可能能入侵你的账户,即使无法把你的钱转走,但是可以把你的身份证号、手机号等信息拿走,然后去做一些诈骗之类的行为。
行业安全建设待加强
“目前,国内网站存在安全漏洞是极其普遍的现象。只要你存在漏洞,就很可能已经被地下产业的黑客利用了。”赵武分析表示。
根据中国互联网协会和国家互联网应急中心发布的《中国互联网站发展状况及其安全报告(2014)》内容显示,2013 年,互联网黑客地下产业仍然较为活跃。黑客地下产业的逐利性特点日趋明显,以网络欺诈、讹诈为代表的拒绝服务以及仿冒网站是黑客重要的得利渠道。信息系统漏洞特别是高危漏洞呈现逐年递增趋势,这给黑客发起大规模网络攻击或针对重要价值目标发起攻击提供了便利条件。
赵武表示,随着国家“互联网+”战略的提出,很多互联网金融公司雨后春笋般涌现。这些公司在发展过程中,除了关注用户规模、成交量规模的发展外,也应加强信息安全建设。比如,成立信息安全部门、积极和行业内的安全信息公司建立联系、对于行业内发生的数据泄露事件,积极采取补救措施等手段,从多方面去筑起一道信息安全的“篱笆”。
1本文为《每日经济新闻》原创作品。
2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。