客戶(hù)資金頻遭盜刷,,信息系統(tǒng)接連出現(xiàn)故障,,業(yè)務(wù)系統(tǒng)出現(xiàn)停滯,正在沖刺H股發(fā)行的光大銀行遭遇來(lái)自客戶(hù)和投資者的雙重質(zhì)疑:光大銀行的信息系統(tǒng)能否保證客戶(hù)的資金安全,?頻頻發(fā)生事故的信息系統(tǒng)能否支持光大銀行下一步的業(yè)務(wù)發(fā)展,?
針對(duì)光大銀行信息系統(tǒng)的重大漏洞,,銀監(jiān)會(huì)前不久專(zhuān)門(mén)委托了權(quán)威的國(guó)家信息安全測(cè)評(píng)機(jī)構(gòu)對(duì)該行網(wǎng)上銀行和網(wǎng)站系統(tǒng)進(jìn)行測(cè)試,發(fā)現(xiàn)光大銀行存在銀行內(nèi)部信息泄露風(fēng)險(xiǎn),、釣魚(yú)網(wǎng)站攻擊風(fēng)險(xiǎn),、信息安全防護(hù)措施不嚴(yán)密等三方面重大漏洞,并責(zé)令其立即整改,。
危險(xiǎn)的光大網(wǎng)銀
2011年1月28日,,星期五,正是春節(jié)前刷卡的高峰日,,然而,,有些光大銀行的持卡用戶(hù)卻發(fā)現(xiàn)手中的卡無(wú)法使用,不僅借記卡無(wú)法用,,信用卡也無(wú)法刷卡,,光大銀行對(duì)此事卻秘而不宣。
原來(lái),,這次是光大銀行在北京陶然亭機(jī)房的一臺(tái)光傳輸設(shè)備板卡出現(xiàn)故障,,造成線(xiàn)路運(yùn)行不穩(wěn)定,導(dǎo)致光大銀行部分銀聯(lián)和貸記卡業(yè)務(wù)一度中斷,。更令人不可思議的是,,光大銀行用了近一周的時(shí)間才更換了該設(shè)備板卡,在這期間,,所有業(yè)務(wù)均在無(wú)備用線(xiàn)路的情況下運(yùn)行,,潛在風(fēng)險(xiǎn)極大。
其實(shí),,這已不是光大銀行第一次發(fā)生這樣的事故,。也就在今年年初,光大銀行客戶(hù)遭釣魚(yú)網(wǎng)站惡意盜取密碼,,客戶(hù)資金發(fā)生損失,。去年光大銀行南京分行客戶(hù)也是遭遇網(wǎng)上銀行被盜,涉及金額高達(dá)20萬(wàn)元,。而該行上海分行對(duì)外銷(xiāo)售的面值1000元的銀行儲(chǔ)值卡,,被犯罪嫌疑人通過(guò)網(wǎng)上銀行盜轉(zhuǎn)部分資金,此事已由上海銀監(jiān)局進(jìn)行核查,。
而去年光大銀行發(fā)生的核心業(yè)務(wù)系統(tǒng)故障更是驚動(dòng)了國(guó)務(wù)院,,銀監(jiān)會(huì)專(zhuān)門(mén)就此事向國(guó)務(wù)院做了匯報(bào),。
2010年8月30日中午12時(shí)02分起,光大銀行核心系統(tǒng)及總行前置系統(tǒng)交易出現(xiàn)擁堵,,造成全國(guó)網(wǎng)點(diǎn)交易緩慢,,柜面業(yè)務(wù)、網(wǎng)上銀行,、電話(huà)銀行,、電子支付等業(yè)務(wù)均受到影響。該事故引起業(yè)務(wù)交易擁堵,,系統(tǒng)完全中斷時(shí)間達(dá)12分34秒,,對(duì)外正常服務(wù)受到影響時(shí)間約5小時(shí)左右。事后查證,,該事故造成核心業(yè)務(wù)系統(tǒng)未成功記賬及重復(fù)記賬共計(jì)5萬(wàn)多筆,。
銀監(jiān)會(huì)評(píng)估光大網(wǎng)銀
光大銀行信息科技系統(tǒng)接連出現(xiàn)故障,引起了銀監(jiān)會(huì)的高度關(guān)注,。
前不久,,銀監(jiān)會(huì)委托國(guó)家信息安全專(zhuān)業(yè)測(cè)評(píng)機(jī)構(gòu)對(duì)光大銀行網(wǎng)上銀行和網(wǎng)站系統(tǒng)進(jìn)行測(cè)試,發(fā)現(xiàn)了該網(wǎng)站存在內(nèi)部信息泄露風(fēng)險(xiǎn),、釣魚(yú)網(wǎng)站攻擊風(fēng)險(xiǎn)以及信息安全防護(hù)措施不嚴(yán)密等問(wèn)題,。
銀監(jiān)會(huì)認(rèn)定,光大銀行網(wǎng)站存在內(nèi)部敏感信息泄露風(fēng)險(xiǎn),,可能為外部攻擊者利用以了解網(wǎng)站機(jī)制,、內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),甚至獲取管理權(quán)限,,進(jìn)一步攻擊網(wǎng)站,。例如:網(wǎng)站主頁(yè)和網(wǎng)上銀行等頁(yè)面沒(méi)對(duì)網(wǎng)頁(yè)出錯(cuò)信息進(jìn)行有效保護(hù),出錯(cuò)信息包含內(nèi)部地址及網(wǎng)站配置信息,,信用卡中心頁(yè)面網(wǎng)站和基金咨詢(xún)頁(yè)面網(wǎng)站源代碼包含內(nèi)部地址信息,,外部攻擊者可進(jìn)一步了解當(dāng)前網(wǎng)站所屬網(wǎng)絡(luò)的結(jié)構(gòu)情況、收集有關(guān)應(yīng)用程序的敏感信息,。
銀監(jiān)會(huì)同時(shí)認(rèn)定光大銀行信息安全防護(hù)措施不嚴(yán)密,。該行網(wǎng)站養(yǎng)老金管理中心頁(yè)面登錄請(qǐng)求信息在發(fā)送至服務(wù)器的過(guò)程中使用明文傳輸,易造成用戶(hù)登錄信息被截獲,。
銀監(jiān)會(huì)的檢測(cè)還發(fā)現(xiàn),,光大網(wǎng)銀有被釣魚(yú)網(wǎng)站攻擊的風(fēng)險(xiǎn)。光大銀行養(yǎng)老金管理中心頁(yè)面和基金咨詢(xún)頁(yè)面存在釣魚(yú)漏洞風(fēng)險(xiǎn),,由于網(wǎng)站應(yīng)用程序未對(duì)用戶(hù)的輸入?yún)?shù)進(jìn)行有效檢驗(yàn),,惡意攻擊者可能誘騙用戶(hù)訪(fǎng)問(wèn)含有惡意腳本代碼的鏈接地址,竊取用戶(hù)敏感信息,。
銀監(jiān)會(huì)根據(jù)這個(gè)評(píng)估結(jié)果,,要求光大銀行進(jìn)一步深入分析上述各類(lèi)風(fēng)險(xiǎn),,認(rèn)真研究其深層次的技術(shù)根源和管理漏洞,針對(duì)有關(guān)問(wèn)題制定切實(shí)可行的解決方案和整改計(jì)劃,,并盡快實(shí)施,,及時(shí)堵塞漏洞,化解上述各類(lèi)風(fēng)險(xiǎn),。