每經編輯｜每經記者 施娜      

每經記者 施(shi)娜  

近日有(you)消息稱，浙江一互(hu)聯(lian)網金融平(ping)臺(tai)銅掌柜(ju)存(cun)在系統安全(quan)問題，導致平(ping)臺(tai)60萬用戶大(da)量敏(min)感(gan)信(xin)息泄露(lu)。

對(dui)此，銅(tong)掌(zhang)柜首席信息官(guan)金少(shao)策昨(zuo)日（12月(yue)(yue)20日）在接受《每日經濟新聞》記(ji)者采訪(fang)時表示，經與技術部門(men)核(he)實，該漏(lou)洞于12月(yue)(yue)1日由“白帽子”發(fa)現并提交到(dao)某(mou)漏(lou)洞響(xiang)應平(ping)臺，并在12月(yue)(yue)9日進行了修復，期間并未出現任何(he)用(yong)戶信息被(bei)泄露。

記(ji)者注意到，近年來(lai)(lai)因網(wang)站(zhan)漏洞(dong)造成數據泄(xie)露的事(shi)件(jian)不(bu)少(shao)，如此前的12306網(wang)站(zhan)用戶隱私信(xin)息泄(xie)露、30省市社保信(xin)息泄(xie)露等(deng)，由漏洞(dong)而引發的安全事(shi)件(jian)不(bu)僅(jin)給(gei)用戶帶(dai)來(lai)(lai)煩惱，也給(gei)相(xiang)關企(qi)業造成了(le)直接或者間接的經濟損失，嚴重影響了(le)企(qi)業和行業形象。

網(wang)(wang)絡安全專家(jia)、北京白帽匯(hui)科技有限公司CEO趙武(wu)在(zai)接受《每日經濟新聞(wen)》采訪時表示，目(mu)前(qian)國內網(wang)(wang)站存在(zai)安全漏洞是普遍現象，很多領域(yu)都存在(zai)，希(xi)望相關政府部(bu)門(men)和公司能夠引起足夠重視。

公司：平臺數據有保障

據(ju)了解(jie)，上(shang)(shang)述(shu)漏(lou)(lou)洞(dong)(dong)響應(ying)平臺對漏(lou)(lou)洞(dong)(dong)的(de)定(ding)義分為通(tong)用(yong)漏(lou)(lou)洞(dong)(dong)與事(shi)件漏(lou)(lou)洞(dong)(dong)兩(liang)種。其中，事(shi)件漏(lou)(lou)洞(dong)(dong)（即非(fei)通(tong)用(yong)型漏(lou)(lou)洞(dong)(dong)），主要是指互聯網(wang)上(shang)(shang)應(ying)用(yong)的(de)一個(ge)具體漏(lou)(lou)洞(dong)(dong)，例如，某(mou)(mou)網(wang)站(zhan)(zhan)命令(ling)執行可(ke)被滲透、某(mou)(mou)網(wang)站(zhan)(zhan)應(ying)用(yong)SQL注入可(ke)導(dao)致信(xin)息泄露等(deng)。

此次銅掌(zhang)柜(ju)的系(xi)統漏(lou)洞為事件型(xing)。根據上述響應平臺信(xin)息顯(xian)示，12月1日，銅掌(zhang)柜(ju)漏(lou)洞打(da)包可能泄露用戶(hu)信(xin)息被“白帽子”提交發布到平臺，官(guan)方(fang)評級為高(gao)危；12月14日，國家互聯(lian)網應急響應中(zhong)心回復(fu)稱(cheng)確認漏(lou)洞，危害等(deng)級為中(zhong)等(deng)。

“此前，我(wo)們已(yi)經完成了修復(fu)，但忽略了在(zai)響(xiang)應平(ping)(ping)臺上的確認。近日，我(wo)們已(yi)正式向該漏洞響(xiang)應平(ping)(ping)臺確認回復(fu)”，金少策表示，“目(mu)前銅掌柜數(shu)據(ju)安全與阿(a)里(li)云合作(zuo)，平(ping)(ping)臺數(shu)據(ju)安全由(you)阿(a)里(li)云提(ti)供保障(zhang)。”

“通用型(xing)、事件(jian)型(xing)；低危(wei)(wei)漏(lou)洞(dong)、中危(wei)(wei)漏(lou)洞(dong)、高危(wei)(wei)漏(lou)洞(dong)，這些(xie)是(shi)(shi)在技術上對(dui)漏(lou)洞(dong)的劃分。很多黑客(ke)在利(li)用這些(xie)漏(lou)洞(dong)的過程，可能是(shi)(shi)一個，也可能是(shi)(shi)多個漏(lou)洞(dong)結合。最終黑客(ke)的目的很簡單，就是(shi)(shi)偷數據。”趙武(wu)說，比如你購(gou)買了一個P2P理(li)財產品，網(wang)站系統存在漏(lou)洞(dong)，黑客(ke)就有(you)可能能入侵你的賬戶，即使(shi)無法把(ba)你的錢轉(zhuan)走(zou)，但是(shi)(shi)可以把(ba)你的身份證號、手機號等(deng)信息拿走(zou)，然后去做一些(xie)詐騙之類的行為。

行業安全建設待加強

“目(mu)前，國內網站(zhan)存在安全(quan)漏(lou)洞(dong)是極其普遍的現象(xiang)。只要你存在漏(lou)洞(dong)，就很可能已經被地下產業的黑客利用了。”趙武(wu)分析表示(shi)。

根(gen)據中(zhong)(zhong)國互(hu)聯網(wang)(wang)(wang)協(xie)會和國家互(hu)聯網(wang)(wang)(wang)應急中(zhong)(zhong)心發(fa)布(bu)的(de)《中(zhong)(zhong)國互(hu)聯網(wang)(wang)(wang)站(zhan)發(fa)展狀況及其(qi)安全(quan)報告（2014）》內(nei)容(rong)顯示，2013 年，互(hu)聯網(wang)(wang)(wang)黑(hei)(hei)客地下(xia)產(chan)業仍然較為活躍。黑(hei)(hei)客地下(xia)產(chan)業的(de)逐利性特點日趨明(ming)顯，以(yi)網(wang)(wang)(wang)絡欺詐、訛詐為代(dai)表的(de)拒(ju)絕(jue)服務以(yi)及仿冒(mao)網(wang)(wang)(wang)站(zhan)是黑(hei)(hei)客重要的(de)得(de)利渠道(dao)。信息系統漏(lou)(lou)洞特別(bie)是高危漏(lou)(lou)洞呈現(xian)逐年遞增趨勢，這給黑(hei)(hei)客發(fa)起大規模(mo)網(wang)(wang)(wang)絡攻(gong)擊(ji)(ji)或針對重要價值目標發(fa)起攻(gong)擊(ji)(ji)提(ti)供了便利條件。

趙武表示(shi)，隨(sui)著國家“互聯(lian)網(wang)+”戰(zhan)略(lve)的提(ti)出，很多互聯(lian)網(wang)金融公司雨后春(chun)筍般涌(yong)現。這些公司在發(fa)展過程中，除了關注用戶規(gui)模、成交量規(gui)模的發(fa)展外，也(ye)應加強信息安全建(jian)設(she)。比如(ru)，成立(li)信息安全部(bu)門(men)、積(ji)極(ji)和行業內的安全信息公司建(jian)立(li)聯(lian)系、對(dui)于行業內發(fa)生的數據泄露事件，積(ji)極(ji)采取補救(jiu)措施等手段，從多方(fang)面(mian)去筑起一道(dao)信息安全的“籬笆”。