60萬用戶信息遭泄露? 銅掌柜:漏洞早已修復
每日經濟新聞
2015-12-20 23:21:58
近日有(you)消息稱,浙江一互聯網金(jin)融平臺(tai)銅掌柜存在系(������xi)統安全問題,導致平臺(tai)60萬(wan)用戶大量敏感信(xin)息泄露。
對(dui)此,銅(tong)掌(zhang)柜首席信(xin)息(xi)官金少策昨(zuo)日(ri)(12月20日(ri))在接受《每日(ri)經濟新聞(wen)》記者采訪時表示(shi),經與技(ji)術部門核(he)實,該漏洞(dong)于12月1日(ri)由“����白帽子”發現(xian)并提(ti)交到某漏洞(dong)������響應平臺,并在12月9日(ri)進行了修(xiu)復(fu),期間(jian)并未出現(xian)任何用戶信(xin)息(xi)被泄露。
每經(jin��g)編������(bian)輯|每經(jing)記(ji)者(zhe) 施娜(na)
每經記者 施娜(na)
近日有消(xiao)息(xi)稱(cheng),浙江一(yi)互聯網金融(rong)平臺銅掌柜存在(zai)系統安全問題,導致������平臺60萬用戶大量敏感信息(xi)泄露。
對此,銅(tong)掌(zhang)������柜首(shou)席信息官金少策昨(zuo)日(ri)(ri)(12月20日(ri)(ri))在(zai)(zai)接(jie)受《每日(ri)(ri)經濟新聞(wen)》記者(zh������e)采訪時表示,經與(yu)技術(shu)部(bu)門核實,該漏(lou)洞于(yu)12月1日(ri)(ri)由“白帽(mao)子”發(fa)現并(bing)提(ti)交(jiao)到某(mou)漏(lou)洞響應平臺,并(bing)在(zai)(zai)12月9日(ri)(ri)進(jin)行(xing)了修復,期間并(bing)未出現任何用戶信息被泄露。
記者注意到,近(jin)年(nian)來(lai)因網站(zhan)漏洞(dong)造(zao)成(cheng)數據(ju)泄露的(de)(de)事件(jian)不(bu)少,如(ru)此前的(de)(de)12306網站(zhan)用戶隱私(si)信息泄露、30省市社保(bao)信息泄露等,由漏洞(dong)而(er)引發的(de)(de)安全(quan)事件(jian)不(bu)僅(jin)給用戶帶來(lai�����)煩惱,也給相關企業(ye)造(zao)成(cheng)了直(zhi)接(jie)或者間接(jie)的(de)(de)經濟(ji)損失,嚴重影響了企業(ye)和行業(ye)形象(xiang)。
網絡安(an)全(quan)專家、北京白帽匯科技(ji)有限(xian)公司CE�����O趙武(wu)在接受《每日(ri)經(jing)濟新聞》采訪時表(�������biao)示(shi),目前(qian)國內網站存在安(an)全(quan)漏洞是普遍現象,很(hen)多領域都存在,希望相關(guan)政府部門和(he)公司能夠(gou)(gou)引起足夠(gou)(gou)重(zhong)視。
公司:平臺數據有保障
據了解(jie),上(shang)述��������漏洞響應平臺對漏洞的定義分為通用漏洞與事件漏洞兩種。其中(zhong),事件漏洞(即非通用型漏洞),主要是指互聯網(wang)(wang)上(shang)應用的一個具體漏洞,例如,某網(wang)(wang)站命令執行可被滲透、某網(wang)(wang)站應用SQL注入(ru)可導(dao)致(zhi)信息泄露等。
此次銅掌柜的系統(tong)漏洞(dong)為(wei)事件(jian)型。根據上述響應(ying)(ying)平臺信息顯示,12月1日(ri),銅掌柜漏洞(dong)打包可能(neng)泄(xie)露用戶(hu)信息被(bei)“白帽子”提交發布到平臺,官方評級(ji)為(wei)高危(wei);12月14日(ri),國家互聯網應(ying)(ying)急響應�����(ying)(ying)中心回復稱(cheng)確認漏洞(dong),危(wei)害(hai)等(deng)級(ji)為(wei)中等(deng)。
“此前(qian),我們(men)已經完成了修復,但忽(hu)略(lve)了在(zai)響應平(ping)(ping)臺上(shang)的(de)確認(ren)。近日,我們(men)已正式向(xiang)該漏洞響應平(ping)(ping)臺確認(ren)回復”,金少策表(bi�����ao)示(shi),“目(mu)前(qian)銅(tong)掌柜(ju)數據安全(quan)與阿(a)里云合作,平(ping)(p������ing)臺數據安全(quan)由阿(a)里云提供(gong)保障。”
“通用型(xing)、事件型(xing);低危(wei)漏(lou)(lou)洞(dong)(dong)、中(zhong)危(wei)漏(lou)(lou)洞(dong)(dong)、高危(wei)漏(lou)(lou)洞(dong)(dong),這(zhe)些是在技術(shu)上對(dui)漏(lou)(lou)洞(dong)(dong)的劃分。很多黑(hei)客在利用這(zhe)些漏(lou)(lou)洞(dong)(dong)的過程,可(ke)(ke)能是一(yi)個(ge),也可(ke)(ke)能是多個(ge)漏(lou)(lou)洞(dong)(dong)結合。最終黑(hei)客的目的很簡單(dan),就(jiu)是偷(tou)數(shu)據(ju)。”趙武說,比如你購(gou)買了一(yi)個(ge)P2P理財產品,網(wang)站系(xi)統(tong)存在漏(lou)(lou)洞(dong)(dong),黑(hei)客就(jiu)有可(ke)(ke)能能入(ru)侵你的賬戶,即(ji)使無法把(ba)你的錢轉走(zou),但是可(ke)(ke)以把(ba)你的身份證號(hao)、��手機號(hao)等信息拿走(zou),然后去做一(yi)些詐騙之類(lei)的行為。
行業安全建設待加強
“目前,國內(nei)網站存在(zai)安(an)全(quan)漏(lou)洞(dong)是極(ji)其(qi)普遍(bian)的(de)現象。只要你存在(zai)漏(lou)洞(dong),就很可能(neng)已經(jin����g)被地(di)下產業的(de)黑客利用(yong)了。&rdq�������uo;趙武分(fen)析表示(shi)。
根據中國互聯(lian)網(wang)協會和國家互聯(lian)網(wang)應急中心發(fa)布的(de)(de)《中國互聯(lian)網(wang)站(zhan)發(fa)展狀況(kuang)及其安全(quan)報告(2014)》內容顯示,2013 年(nian),互聯(lian)網(wang)黑(hei)客(ke)地(di)下產(chan)業(ye)仍然較為活躍(yue)。黑(hei)客(ke)地(di)下產����(chan)業(ye)的(de)(de)逐利(li)(li)性特(te)點日(ri)趨明顯,以網(wang)絡欺(qi)詐、訛(e)詐為代表的(de)(de)拒(ju)絕服務以及仿冒網(wang)站(zhan)是黑(hei)客(ke)重(zhong)要(yao)的(de)(de)得利(li)(li)渠道(dao)。信息系統漏(lou)(lou)洞特(te)別是高(gao)危(wei)漏(lou)(lou)洞呈現(xian)逐年(nian)遞增(zeng)趨勢(shi),這(zhe)給黑(hei)客(ke)發(fa)起(qi)大規模網(wang)絡攻擊或針對(dui)重(zho�����ng)要(yao)價值目標發(fa)起(qi)攻擊提供(gong)了便利(li)(li)條(tiao)件(jian)。
趙武表示,隨著國家(jia)“互(hu)聯(lian)網+”戰略的提出(chu),很多(duo)互(hu)聯(lian)網金(jin)融(rong)公司(si)雨后春筍(sun)般涌現。這些公司(si)在(zai)發(fa)展過程中,除(chu)了關注用戶(hu)規模、成(cheng)交(jiao)量(liang)規模的發(fa)展外,也(ye)應加(j�������ia)強信(xin)息(xi)(xi)安(an)(an)全(quan)(quan)建(jian)設。比如,成(cheng)立(li)信(xin)息(xi)(xi)安(an)(an)全(quan)(quan)部門、積(ji)極和(he)行業內的安(an)(an)全(quan)(quan)信(xin)息(xi)(xi)公司(si)建(jian)立(li)聯(lian)系(xi)、對于行業內發(fa)生的數據泄露事件(jian),積(ji)極采取補救(jiu)措施等(deng)手段,從多(duo)方面去筑起(qi)一道信(xin)息(xi)(xi)安(an)(an)全(q������uan)(quan)的“籬笆”。
