券业“乌云”报告： 589项系统漏洞暴露 部分导致投资者信息泄露

本篇文章2347字，读完约6分钟

证券业“乌云”报告:589系统漏洞导致投资者信息泄露

我们的记者宋宇在北京报道

值此“3.15”消费者权益保护日之际，证券期货机构的信息系统漏洞和安全隐患成为人们关注的焦点之一。

《21世纪经济报道》记者通过对漏洞平台wooyun的调查发现，许多券商和基金的信息系统存在或已经存在漏洞或安全风险，有些漏洞甚至会导致用户和员工的账户和密码泄露或重置风险；另一方面，一些报告问题的组织选择忽略漏洞。

多经纪人存款漏洞被忽视

据《21世纪经济报道》记者的不完全统计，自2015年以来，涉及证券业的系统漏洞报告多达369份，涉及基金业的有175份，涉及期货业的有45份，共计589份。

云漏洞平台是由前百度安全专家方晓东创建的。它被定位为供应商和安全研究人员之间安全问题的反馈平台。

据统计，仅2016年，五云平台上就有不少于15家证券期货机构报告系统漏洞。其中，虽然在五云平台上已经提交了一些漏洞，但仍有很多机构认为它没有影响，选择了“忽略”。

统计数据显示，仅在2016年，提交漏洞但被“忽略”的券商包括西方证券、中信证券、东北证券、AVIC证券和恒泰证券。

其中，xss漏洞、sql注入、弱密码等漏洞已经成为上述机构的主要问题。例如，今年1月，恒泰证券的人力资源管理系统被发现存在“弱密码”，这很容易导致数千名员工的姓名、身份证、电子邮件、学历等信息被泄露。

所谓弱密码是指系统用户的密码容易被他人猜到或被破解工具破解的问题。无独有偶，西方证券、中信证券等公司也存在“弱密码”问题。

“弱密码”通俗地说就是密码比较简单，容易受到程序暴力的攻击，比如密码123456。”一位bat技术人员说:“一些完美的系统在注册时会有一个薄弱的密码保护机制，例如无法成功注册一个简单的密码。”

然而，这个问题在被五云平台提交后被恒泰证券忽略了。

“有些公司认为问题不大，他们可能会选择忽视它，但尽管它被忽视了，仍有可能做出补救措施。”一位接近乌云的人告诉记者。

一些基金和期货被“击中”

信息系统的安全风险不仅限于证券公司，一些基金公司和期货公司也存在类似的问题。

例如，一些组织仍然存在sql注入漏洞，也就是说，通过将sql命令插入相应的表单或页面，他们可以欺骗服务器并获取数据库信息。"这也很容易导致用户信息泄露."前述蝙蝠技术人员说。

据五云平台披露，E基金的一个网站暴露出sql注入漏洞，这也表明它“被厂商忽视”；原因来自一款网络在线通讯软件“live800系统”。然而，根据E基金的说法，这个漏洞是去年修复的。

此外，一些期货公司也存在相应的设计缺陷。例如，国投期货官方网站主站暴露出权限漏洞，这一问题容易导致其注册会员的用户名、电话号码、邮箱地址、姓名等相关信息的泄露；此外，国投期货网站也暴露出xss漏洞等问题。

吴云发布的国投期货系统报告显示，只要用户注册了国投期货会员账户，点击用户名和跳转页面就可以找到网站连接中的用户参数，修改该参数就可以获得其他会员的注册信息。

值得注意的是，在报告通过乌云提交给国投期货后，它得到的回应是“没有影响，制造商忽略了它。”

《21世纪经济报道》记者试图通过上述方式获取注册用户信息，发现大部分用户的信息泄露问题已经被国投期货修补和屏蔽，但部分用户的个人信息仍然可以被检索到。

据业内人士称，如果用户信息因系统漏洞而泄露，很容易给用户带来电话骚扰等诸多影响。

“一些客户也可能是高净值个人。如果组织不能很好地保护这部分个人信息，一旦泄露，将会扰乱客户的生活。”汇金某经纪业务部门负责人表示:“但出现这类问题后，维权非常麻烦，因为很难知道这类信息是从哪个渠道泄露出去的，所以很容易引发纠纷，最终成为销售部门的风险。”

漏洞经常导致反思

值得注意的是，一些机构已经多次暴露出漏洞。

以华夏基金为例，仅2015年以来，五云平台就暴露出多达8个系统漏洞，涉及权限过大、任意读取文件、xxs漏洞等各种问题；恒泰证券在同一时期暴露了多达6个问题，而国泰君安证券去年暴露了多达24次。

值得一提的是，上述漏洞如果没有被相关机构忽视的话，大部分已经得到了修补，但这些漏洞的频繁出现仍然引起了业界对证券期货经营机构安全建设的反思。

“事实上，it系统中存在缺陷是正常的，也是可以接受的。看看不同的行业，比如金融业。对系统漏洞的容忍度应该相对较低。因为它涉及资本交换，很多信息都比较敏感，所以一旦有了漏洞。后果也更加严重。”一位熟悉金融业务的英美烟草技术人士表示:“但许多机构的it系统建设时间相对较短，有些是直接购买的，有些是自己完成的，但整体成熟度有待提高。”

“如果利用某些漏洞，泄露内部网信息的后果可能非常严重。例如，黑客会利用漏洞窃取用户信息，甚至检查经纪人的交易行为，然后从事内幕交易。”广东某经纪公司合规部经理认为。

在信息安全专业人士眼中，随着互联网金融的渗透，it技术在金融业务中的应用越来越广泛，证券期货运营机构应进一步提高it系统的风险控制标准，以满足新形势下的网络安全需求。

“几乎不可能想到‘零漏洞’。许多国际顶级信息技术公司的系统也会发现漏洞，但金融机构应该尽量减少漏洞的出现频率。前述bat技术人员说，“如果一个组织一再出现漏洞，就意味着它不重视系统建设，所以它头疼脚疼。”"

然而，业内人士认为，应从监管的角度加强管理，明确证券机构漏洞的权利和责任。

“应当从监管的高度提高机构信息系统的监管标准，尽可能避免系统中出现过多的漏洞。”前面提到的合规部门经理说，“在很多情况下，权力和责任需要明确。例如，一些经纪人使用的外部系统导致了客户信息的泄露。此时，责任应由经纪方或软件方承担，并应予以明确。”

(编辑吴燕玲的电子邮件地址:武夷@ 21京基)