我已授权

注册

汇丰uedbet体育数据泄露 金融信息安全亟须升级

2018-11-19 10:17:34 中国经营报 

  郝亚娟、张荣旺

  近日,汇丰uedbet体育被曝出其客户账户在10月4日至10月14日期间遭到攻击,约1%美国客户的个人信息被泄露。

  汇丰uedbet体育(中国)独家回复《中国经营报(博客,微博)》记者称:“此次数据泄露事件仅与美国有关。同时,汇丰uedbet体育通过增强账户登录和身份验证的流程,为所有个人和企业uedbet体育账户的数字化服务提供了进一步安全保障。”

  随着新一轮科技革命的蓄势待发以及互联网、大数据、云计算、人工智能等新兴技术与金融领域的深入结合,全球uedbet体育业信息技术的应用得到全面提升,信息技术在给uedbet体育业务办理和组织运营带来方便和高效的同时,也带来了极大的安全隐患。金融业尤其是uedbet体育业所掌握的数据和信息拥有巨大经济价值,使得uedbet体育业近年来成为网络攻击的重点目标。

  在国内,安全可控的信息技术是uedbet体育业发展的一项重要保障。记者了解到,国内商业uedbet体育在借助信息技术实现快速发展的过程中,尤其重视客户信息保护,在风控制度与信息科技部门通力配合下,层层把关,确保数据和用户信息的安全可控。

  黑客入侵

  据外媒报道,11月8日,汇丰uedbet体育宣布其客户账户在10月4日至10月14日期间遭到攻击,约1%的美国客户的姓名、出生日期、电话号码、电子邮箱等信息被泄露。汇丰uedbet体育方面表示,此次黑客入侵事件是由登录凭证攻击造成的,即黑客通过从其他途径获得的客户个人信息从而入侵汇丰uedbet体育账户。对此,汇丰uedbet体育暂停了部分账户的在线访问。同时,对个人网上uedbet体育平台的认证流程增加额外的安全保护,以保护其客户免受未来的攻击。

  今年以来,针对uedbet体育的网络攻击现象逐渐增多。据报道,今年8月,黑客攻击印度科斯莫斯uedbet体育系统,窃取将近9.44亿卢比(约合1350万美元)资金;另外,俄罗斯央行发布消息称,俄罗斯uedbet体育业今年1~8月期间因网络攻击损失了7650万卢布;5月,加拿大蒙特利尔uedbet体育和帝国商业uedbet体育被网络黑客攻击,导致近9万名客户的数据被窃取,这应该是金融机构受到的最大一次网络攻击。

  “一般而言,黑客入侵主要有三种途径:软件、硬件和网络。如果黑客掌握了客户在其他平台的密码信息从而入侵客户的uedbet体育账户,意味着可以通过验证登录账户,但黑客登录成功之后,账户的权限还得靠uedbet体育方面来设置。如果uedbet体育的权限设置没设计好,那么黑客登录客户账户之后就可以进行想要的操作了。”联通上海分公司某研发经理告诉记者。

  上海某证券公司一位IT工程师认为,汇丰uedbet体育客户信息泄露事件中,黑客利用uedbet体育客户在其他地方的密码信息登录其uedbet体育账户,也就是“撞库”,这其中uedbet体育自身负有一定的责任。“一般来讲,如果客户的登录IP地址或设备发生变动,需要发验证码至手机进行验证,而黑客如果不经验证可直接登录账户,则说明uedbet体育在这方面管控不严。”

  一位某金融IT公司的工程师向记者分析道,黑客无须验证却能够直接登录客户的uedbet体育账户,这种情况也有可能发生。“比如uedbet首页,uedbet首页主要分为两种:凭密消费和无密消费。对于无密消费的uedbet首页,黑客成功登录之后即可使用账户。”

  漏洞仍存

  当前信息技术在uedbet体育业务领域应用越来越广泛和普及,uedbet体育对数据安全十分重视防护,但仍然存在漏洞,个别uedbet体育机构对安全漏洞缺乏有效管理和修复机制,很容易被攻击者利用,继而对uedbet体育的业务安全和用户信息造成威胁。记者了解到,客户信息数据流主要经过数据搜集、数据传输、数据存储三个环节。通常来说,uedbet体育在这三个环节中做好保护措施,客户信息泄露的概率不高。

  在数据搜集和传输方面,uedbet体育通常对操作有明确的规定,以保证客户信息不会在搜集的过程中发生泄露。以uedbet首页为例,某股份制uedbet体育uedbet首页中心一位内部人士告诉记者,客户在申请uedbet首页的时候,提交的相关资料都是由分行搜集好并密封起来,由总行专门人员去取件,然后送至总行再进行开封、录入,由此可以控制客户信息统一汇总至总行;而在uedbet首页申请审核过程中,每个员工负责对应的板块,所以uedbet体育员工并不能接触到客户的完整信息。

  客户信息一旦进入uedbet体育的“数据库”,即进入“数据存储”环节。某股份行科技部工作人员向记者表示,在客户信息保护方面,uedbet体育严格按照《中华人民共和国网络安全法》执行,定期打系统安全补丁,在系统投产前做安全检查,确保uedbet体育的系统和网络安全。

  来自招行的一位不愿具名的创新产品经理告诉记者,uedbet体育客户的信息保护除了有专门的安全团队会层层把关以外,还要满足相关审计和风控要求,对客户信息保护要求非常严格。

  客户信息在进入uedbet体育内部后,尽管uedbet体育的工作人员会接触到部分客户信息,但由于uedbet体育员工签署了《保密协议》,约定员工对uedbet体育的信息有保密责任,从而保证客户信息在uedbet体育内部的安全。

  上述受访工程师表示:“目前国内uedbet体育的信息安全保护等级很高,目前还没有遇到哪家uedbet体育数据发生大规模外泄。从数据安全的防线来说,可以简单分为三步,分别是网络安全、应用安全以及数据库安全。uedbet体育的内网与互联网是隔离的,这从第一道防线上确保了客户的信息安全。现在uedbet体育很重视信息安全,很多uedbet体育都有自己的机房,如果有外包人员前来测试,uedbet体育通常会给外包人员提供计算机,不允许外包人员带自己的电脑进入。”

  而在此次汇丰uedbet体育数据泄露事件中,上海上华律师事务所张志成律师分析称,判断uedbet体育的责任主要基于三方面,一是系统是否存在明显漏洞;二是uedbet体育是否尽到了足够审慎;三是uedbet体育在这方面是否采取了合理的应对措施。“仅根据目前公开的信息,由于很多泄露细节还不清楚,因此尚不能判定汇丰uedbet体育具体承担什么责任。”张志成如是说。

(责任编辑:王治强 HF013)
看全文
写评论已有条评论跟帖用户自律公约
提 交还可输入500

最新评论

查看剩下100条评论

热门新闻排行榜

uedbet体育热销金融证券产品

【免责声明】本文仅代表作者本人观点,与uedbet体育网无关。uedbet体育网站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。