招商银行一月两曝信息泄露漏洞 每年IT投入50亿花哪了
本帖最后由 娃他爹 于 2017-6-9 22:15 编辑事件真相不可知。不过爆料者似乎是卡界知名人物。
-------------------------------------------------------------
今年端午节前夕,招商银行被曝网银出现严重漏洞,个人信息可被修改。有网友指出,当他登录招商银行专业版网银,进入了修改联系信息页面,弹出了“系统LU层异常”的对话框,同时,页面显示了他人的所有详细信息,包括“性别、电子邮箱、常住地址、单位名称、单位地址、单位邮编、单位电话,和部分打了码的银行预留手机号”。5月27日,招商银行官方微博回应称,“尊敬的客户:5月26日晚,我行服务器出现短暂通讯异常,导致少量客户在网上银行专业版查询其个人信息时,系统偶发性显示了服务器缓存的错误,相关异常已于26日当晚修复,不会对**安全及业务办理造成影响。我们对给您带来的不便深表歉意!招商银行将持续为您提供优质的服务。”今年4月份,招商银行遭客户质疑信息泄露。中国江西网报道,南昌市民杨先生因接了一个对方自称是招商银行客服人员的电话,一天内就被骗走了13万。电话交谈中,对方准确的说出杨先生的个人账单信息、流水记录,还告诉他要一笔欠款要还。让他更质疑的是,信息是如何泄露的?那位自称是“招商银行客服人员”的女子为何如此清晰地知道他的详细交易记录,并掌握到他的还款状况。杨先生很怀疑这是招商银行内部人员泄露的。“不管出于何种原因,银行的监管肯定存在漏洞,至少客户的信息安全没有得到保障。”其实,招商银行的网银存漏洞早在三年前就曾被质疑。2014年7月30日,乌云漏洞平台指出,招商银行网银存在定向XSS漏洞,通杀网页、PC端及手机APP,该漏洞可定向窃取信息钓鱼种马。互联网业内人士对此解释称,此漏洞即招行网银某处存储型XSS漏洞,黑客可以通过此漏洞,对招行客户进行“钓鱼”、偷密码,并且可以看到账号余额。不过,招商银行回应称,该行网银有USBKey、动态口令等安全措施的严密保护,客户正常使用不会导致信息泄露和资金损失,请客户放心使用。
5月27日,关于招商银行网络银行涉嫌出现严重漏洞的一篇文章在市场流传。对此,招行对给客户带来的不便表达了歉意,但否认了问题的严重程度。
一位网友指出,当他登录招商银行专业版网银,进入了修改联系信息页面,弹出了“系统LU层异常”的对话框,同时,页面显示了他人的所有详细信息,包括“性别、电子邮箱、常住地址、单位名称、单位地址、单位邮编、单位电话,和部分打了码的银行预留手机号”。
对此,招商银行相关人士回应财新记者表示:5月26日晚,该行服务器出现短暂通讯异常,导致极少量客户在网上银行专业版查询其个人信息时,系统偶发性显示了服务器缓存的错误信息,相关异常已于26日当晚修复,不会对**安全及业务办理造成影响。
多位银行IT人士对此事原由存在不同讨论。一家股份制行IT中心人士对财新记者指出,招行的解释说得通。“可能在调整服务器时钟出现了异常,网银页面上显示的不是实时从数据库提取的信息,而是时间戳出现了问题,有缓存时差的问题。”
一位国有大行IT人士则对财新记者分析,招行此次出现的信息安全问题原因多种,最简单的分析是应用库的异常。
无论如何,对于一家致力于转型Fintech的银行而言,信息安全的要求则需更高。近期,招行董事长李建红表示,每年都拿出了50亿元投入到IT建设上;招行还拟成立金融科技创新基金,支持内部孵化等。
资深金融专家谢平在2014年即提出,因为互联网对金融的渗透,信息技术风险在互联网金融中更为突出。比如,计算机病毒、支付不安全、客户**露等。
银监会多次强调,要防范信息科技风险。这是因为,当前银行业运行高度依赖信息科技,而银行业一些关键技术与核心系统受制于人,要从维护信息安全和国家安全的高度,防范信息科技风险。
银监会指出,从长远看,要建设自主、安全、可控的信息科技系统;从短期看,要完善制度、加强管理,重点防控电子银行、网络攻击、业务外包等领域的风险,提升银行科技风险治理能力、关键技术和防护水平。 招商银行系统出现严重漏洞,信息泄露遭曝光2017-05-28 21:08
近日有媒体报道称招行发生严重的信息泄露,据称本次事件主角招行“涉嫌”泄漏了大量的持卡人信息。在招行网银,你可以查看其他客户的信息!并且修改掉!也就是说,你留在招行的信息,也可能被别人看光光!改光光! 登录了我的招商银行专业版网银,进入了修改联系信息页面,弹出这么一个“系统LU层异常”。 http://img.mp.sohu.com/upload/20170529/d52f82c002f34153af600c1cefb75ef4.png 先别急着高兴,转账不扣费,早晚会扣收,更惊讶的在后面,当你登录招行网银专业版,点击系列查询: http://img.mp.sohu.com/upload/20170529/11d70fe1c0e3452abc4cb794cd0564fa.png 你看到了什么?出现在你眼前的是别人的信息!而且精确到邮箱地址单位等敏感信息!(信息包括完整的性别、电子邮箱、常住地址、单位名称、单位地址、单位邮编、单位电话,和部分打了码的银行预留手机号。) http://img.mp.sohu.com/upload/20170529/6d26d4cef75646348744449b6468cae0_th.png 是不是你眼花了,没关系,再刷新,竟又有出现其他人信息....... http://img.mp.sohu.com/upload/20170529/f058f78cb0fb48aaaf3939801fd253ad_th.png 再来一遍刷新,又换了一个人的信息!并且本次刷新居然可以看到个人全部的移动电话!个人信息暴露无遗! http://img.mp.sohu.com/upload/20170529/86300346c73346f0bbfb9c5cf987201d_th.png 另外拨打招行电话银行,银行会把你和其他用户搞错,然后你输入三次密码,就能锁掉别人的银行卡!也就是说,你的银行卡,可能莫名奇妙被别人锁掉。 http://img.mp.sohu.com/upload/20170529/ba36c6f8338b4423b21d625a90ca84e6_th.png 最逆天的是—— 你还能修改他人信息! 是的!你的信息也能被别人修改! http://img.mp.sohu.com/upload/20170529/5d8caab52aa6415385ce74d94216ab39_th.png 银行发生这么可怕的用户信息泄漏事件,已经很夸张了! 但更可怕的是银行对待这件事的态度! 招行这次是打算大事化小、小事化了,息事宁人、把事情压下去! 据传,招行内部要求:严禁内部转发,尤其是严禁在大型群组转发,以免点击率扩大!做好顾客安抚工作。 http://img.mp.sohu.com/upload/20170529/b7d33425ec114833b953b4e9c42a87fd_th.png 5月26日事发。24小时内,招行并没有发布任何声明,也并没有给招行客户任何安全警告和风险提示。 5月27日傍晚,招行终于才通过微博,发了一条情况说明。 可笑的是,严重的用户信息泄漏和账户安全问题,被招行用轻飘飘的“服务器短暂通讯异常”、“系统偶发性显示了缓存信息”就打发了。 http://img.mp.sohu.com/upload/20170529/8a200bbd40c5401397d8aa7be5085099_th.png 网友纷纷表示:“我们不是傻子” http://img.mp.sohu.com/upload/20170529/9882f5a3f4ae43e78a5941f57d1557fb_th.png 另外大家还记得招行去年的10元风暴泄露50人完整手机号事件吗?POS圈支付网曾报道过,但上海银监局认为那事不大,并没有做实质性监管,这回算大么? http://img.mp.sohu.com/upload/20170529/39f6acd76ad648e2aadc33cbd1f1efa9_th.png 其实可能远远不止网银泄漏这么一点的事,这只能冰山的一角: http://img.mp.sohu.com/upload/20170529/bbb6225dd959437e89e3fc7a7d7bd6a3_th.png 来源:本文综合私银(ID:PriviteBank001)、关爱行员中心(ID:bank_people)、 玩卡一族(ID:Cardsman);POS圈支付网(posquan)
看看。{:4_105:}
嗯,,那时候就看到了
【更惊讶的在后面,当你登录招行网银专业版,点击系列查询:
你看到了什么?出现在你眼前的是别人的信息!而且精确到邮箱地址单位等敏感信息!(信息包括完整的性别、电子邮箱、常住地址、单位名称、单位地址、单位邮编、单位电话,和部分打了码的银行预留手机号。)
是不是你眼花了,没关系,再刷新,竟又有出现其他人信息.......
再来一遍刷新,又换了一个人的信息!并且本次刷新居然可以看到个人全部的移动电话!个人信息暴露无遗】
————————————
卧槽…… 本帖最后由 zombie 于 2017-6-9 22:42 编辑
wlg0918 发表于 2017-6-9 22:28
嗯,,那时候就看到了
大神早不发啊 有没有人要全户注销招商的,包括招行信用卡和借记卡及其他储蓄帐户和存贷款产品的?
请举手示意,组团堵门口,占柜台,抢时间,去注销。 有些人其实就是抓银行的各类把柄要好处,还自认为是为了公众利益处于纯粹的正义感。其实从其他的所作所为来看,未必。 Qiqi 发表于 2017-6-10 09:37
有些人其实就是抓银行的各类把柄要好处,还自认为是为了公众利益处于纯粹的正义感。其实从其他的所作所为来 ...
吃瓜群众只管看戏 不是网银泄露就是数据库出错所有人都是这个人信息 shzj2000 发表于 2017-6-10 11:06
不是网银泄露就是数据库出错所有人都是这个人信息
不是成了名人了?
页:
[1]