多券商存系统漏洞被忽略 部分基金、期货也“中枪”

【中国经营网注】随着互联网金融的发展与普及，投资者对于网络信息安全的关注正在日益高涨。

不过，调查发现，多家券商、基金的信息系统存在或曾存在漏洞或安全隐患，部分漏洞甚至将导致用户、员工存在账号、密码泄露或重置风险;但另一方面，部分被报告存在问题的机构选择了对漏洞进行忽略。

文章来自21世纪经济报道：

又一年“3·15”消费者权益保护日到来之际，证券期货经营机构的信息系统漏洞和安全隐患的蛰伏，成为关注焦点之一。

21世纪经济报道记者通过漏洞平台乌云(WooYun)调查发现，多家券商、基金的信息系统存在或曾存在漏洞或安全隐患，部分漏洞甚至将导致用户、员工存在账号、密码泄露或重置风险;但另一方面，部分被报告存在问题的机构选择了对漏洞进行忽略。

多券商存漏洞被忽略

据21世纪经济报道记者根据乌云不完全统计，自2015年以来，涉及证券行业的系统漏洞报告多达369项、涉及基金行业的多达175项，涉及期货行业的则为45项，合共达589项。

乌云网(WooYun)漏洞平台由前百度安全专家方小顿创立，其定位于一个位于厂商和安全研究者之间的安全问题反馈平台。

统计发现，仅在2016年内在乌云平台报告存在系统漏洞的证券期货机构数量就已不少于15家。其中，虽部分漏洞曾在乌云平台被提交，但仍有许多机构认为无影响而选择了“忽略”。

统计显示，仅在2016年内，已提交漏洞却被“忽略”的券商就包括西部证券、中信建投证券、东北证券、中航证券和恒泰证券等。

其中，XSS漏洞、SQL注入、弱口令等漏洞成为了前述机构存在的主要问题。例如今年1月恒泰证券人力资源管理系统就被披露存在“弱口令”问题，该漏洞易导致数千名员工姓名、身份证、邮箱、学历等信息出现泄露。

所谓弱口令，就是指系统用户口令存在容易被他人猜测或破解工具破解的问题。无独有偶的是，西部证券、中信建投证券等公司也存在“弱口令”问题。

“弱口令通俗的说就是密码比较简单，容易遭到程序暴力破解，比如密码用123456之类的。”一位BAT技术人士表示，“一些完善的系统在注册时会有防范弱口令防范机制，比如用简单密码无法成功注册。”

不过，该问题在乌云平台提交后，显示被恒泰证券所忽略。

“有的公司觉得问题不大的，可能就会选择忽略，但虽然注明了忽略，也仍然有可能做出修补措施。”一位接近乌云人士告诉记者。

部分基金、期货“中枪”

信息系统安全隐患并不止于证券公司，一些基金公司和期货公司也存在类似问题。

例如部分机构还存在SQL注入漏洞，即通过插入SQL命令到相应的表单或页面来达到欺骗服务器、获取数据库信息等目的。“这也容易导致用户信息遭遇泄露。”前述BAT技术人士称。

据乌云平台披露，易方达基金某网站就被曝存在SQL注入漏洞，该漏洞同样显示被“厂商忽略”;其产生的原因来自于与其合作的一款网络在线沟通软件“Live800系统”。但据易方达基金方面称，该漏洞已于去年完成修复。