安全動態(tài)

60萬用戶信息遭泄露? 銅掌柜:漏洞早已修復

來源:聚銘網(wǎng)絡    發(fā)布時間:2015-12-22    瀏覽次數(shù):
 

信息來源:企業(yè)網(wǎng)

60萬用戶信息遭泄露? 銅掌柜:漏洞早已修復

近日有消息稱,浙江一互聯(lián)網(wǎng)金融平臺銅掌柜存在系統(tǒng)安全問題,導致平臺60萬用戶大量敏感信息泄露。

對此,銅掌柜首席信息官金少策昨日(12月20日)在接受《每日經濟新聞》記者采訪時表示,經與技術部門核實,該漏洞于12月1日由“白帽子”發(fā)現(xiàn)并提交到某漏洞響應平臺,并在12月9日進行了修復,期間并未出現(xiàn)任何用戶信息被泄露。

記者注意到,近年來因網(wǎng)站漏洞造成數(shù)據(jù)泄露的事件不少,如此前的12306網(wǎng)站用戶隱私信息泄露、30省市社保信息泄露等,由漏洞而引發(fā)的安全事件不僅給用戶帶來煩惱,也給相關企業(yè)造成了直接或者間接的經濟損失,嚴重影響了企業(yè)和行業(yè)形象。

網(wǎng)絡安全專家、北京白帽匯科技有限公司CEO趙武在接受《每日經濟新聞》采訪時表示,目前國內網(wǎng)站存在安全漏洞是普遍現(xiàn)象,很多領域都存在,希望相關政府部門和公司能夠引起足夠重視。

公司:平臺數(shù)據(jù)有保障

據(jù)了解,上述漏洞響應平臺對漏洞的定義分為通用漏洞與事件漏洞兩種。其中,事件漏洞(即非通用型漏洞),主要是指互聯(lián)網(wǎng)上應用的一個具體漏洞,例如,某網(wǎng)站命令執(zhí)行可被滲透、某網(wǎng)站應用SQL注入可導致信息泄露等。

此次銅掌柜的系統(tǒng)漏洞為事件型。根據(jù)上述響應平臺信息顯示,12月1日,銅掌柜漏洞打包可能泄露用戶信息被“白帽子”提交發(fā)布到平臺,官方評級為高危;12月14日,國家互聯(lián)網(wǎng)應急響應中心回復稱確認漏洞,危害等級為中等。

“此前,我們已經完成了修復,但忽略了在響應平臺上的確認。近日,我們已正式向該漏洞響應平臺確認回復”,金少策表示,“目前銅掌柜數(shù)據(jù)安全與阿里云合作,平臺數(shù)據(jù)安全由阿里云提供保障。”

“通用型、事件型;低危漏洞、中危漏洞、高危漏洞,這些是在技術上對漏洞的劃分。很多黑客在利用這些漏洞的過程,可能是一個,也可能是多個漏洞結合。最終黑客的目的很簡單,就是偷數(shù)據(jù)?!壁w武說,比如你購買了一個P2P理財產品,網(wǎng)站系統(tǒng)存在漏洞,黑客就有可能能入侵你的賬戶,即使無法把你的錢轉走,但是可以把你的身份證號、手機號等信息拿走,然后去做一些詐騙之類的行為。

行業(yè)安全建設待加強

“目前,國內網(wǎng)站存在安全漏洞是極其普遍的現(xiàn)象。只要你存在漏洞,就很可能已經被地下產業(yè)的黑客利用了?!壁w武分析表示。

根據(jù)中國互聯(lián)網(wǎng)協(xié)會和國家互聯(lián)網(wǎng)應急中心發(fā)布的《中國互聯(lián)網(wǎng)站發(fā)展狀況及其安全報告(2014)》內容顯示,2013 年,互聯(lián)網(wǎng)黑客地下產業(yè)仍然較為活躍。黑客地下產業(yè)的逐利性特點日趨明顯,以網(wǎng)絡欺詐、訛詐為代表的拒絕服務以及仿冒網(wǎng)站是黑客重要的得利渠道。信息系統(tǒng)漏洞特別是高危漏洞呈現(xiàn)逐年遞增趨勢,這給黑客發(fā)起大規(guī)模網(wǎng)絡攻擊或針對重要價值目標發(fā)起攻擊提供了便利條件。

趙武表示,隨著國家“互聯(lián)網(wǎng)+”戰(zhàn)略的提出,很多互聯(lián)網(wǎng)金融公司雨后春筍般涌現(xiàn)。這些公司在發(fā)展過程中,除了關注用戶規(guī)模、成交量規(guī)模的發(fā)展外,也應加強信息安全建設。比如,成立信息安全部門、積極和行業(yè)內的安全信息公司建立聯(lián)系、對于行業(yè)內發(fā)生的數(shù)據(jù)泄露事件,積極采取補救措施等手段,從多方面去筑起一道信息安全的“籬笆”。

 
 

上一篇:Juniper Networks(瞻博網(wǎng)絡)現(xiàn)后門,可解密VPN流量

下一篇:消息稱奇虎360計劃向國內銀行貸款34億美元為私有化融資