映象财经

    又一年“3·15”消费者权益保护日到来之际，证券期货经营机构的信息系统漏洞和安全隐患的蛰伏，成为关注焦点之一。

    记者通过漏洞平台乌云（WooYun）调查发现，多家券商、基金的信息系统存在或曾存在漏洞或安全隐患，部分漏洞甚至将导致用户、员工存在账号、密码泄露或重置风险；但另一方面，部分被报告存在问题的机构选择了对漏洞进行忽略。

　　多券商存漏洞被忽略

　　据21世纪经济报道记者根据乌云不完全统计，自2015年以来，涉及证券行业的系统漏洞报告多达369项、涉及基金行业的多达175项，涉及期货行业的则为45项，合共达589项。

　　乌云网（WooYun）漏洞平台由前百度安全专家方小顿创立，其定位于一个位于厂商和安全研究者之间的安全问题反馈平台。

　　统计发现，仅在2016年内在乌云平台报告存在系统漏洞的证券期货机构数量就已不少于15家。其中，虽部分漏洞曾在乌云平台被提交，但仍有许多机构认为无影响而选择了“忽略”。

　　统计显示，仅在2016年内，已提交漏洞却被“忽略”的券商就包括西部证券(002673,股吧)、中信建投证券、东北证券(000686,股吧)、中航证券和恒泰证券等。

　　其中，XSS漏洞、SQL注入、弱口令等漏洞成为了前述机构存在的主要问题。例如今年1月恒泰证券人力资源管理系统就被披露存在“弱口令”问题，该漏洞易导致数千名员工姓名、身份证、邮箱、学历等信息出现泄露。

　　所谓弱口令，就是指系统用户口令存在容易被他人猜测或破解工具破解的问题。无独有偶的是，西部证券、中信建投证券等公司也存在“弱口令”问题。

　　“弱口令通俗的说就是密码比较简单，容易遭到程序暴力破解，比如密码用123456之类的。”一位BAT技术人士表示，“一些完善的系统在注册时会有防范弱口令防范机制，比如用简单密码无法成功注册。”

　　不过，该问题在乌云平台提交后，显示被恒泰证券所忽略。

　　“有的公司觉得问题不大的，可能就会选择忽略，但虽然注明了忽略，也仍然有可能做出修补措施。”一位接近乌云人士告诉记者。

　　部分基金、期货“中枪”

　　信息系统安全隐患并不止于证券公司，一些基金公司和期货公司也存在类似问题。

　　例如部分机构还存在SQL注入漏洞，即通过插入SQL命令到相应的表单或页面来达到欺骗服务器、获取数据库信息等目的。“这也容易导致用户信息遭遇泄露。”前述BAT技术人士称。

　　据乌云平台披露，易方达基金某网站就被曝存在SQL注入漏洞，该漏洞同样显示被“厂商忽略”；其产生的原因来自于与其合作的一款网络在线沟通软件“Live800系统”。但据易方达基金方面称，该漏洞已于去年完成修复。

　　此外，相应的设计缺陷也曾存在于部分期货公司，例如国都期货官网主站就被曝存在权限漏洞，而该问题易导致其注册会员的用户名、电话、邮箱、姓名等相关资料出现泄露；此外，国都期货网站被曝还存在XSS漏洞等问题。

　　根据乌云一份关于国都期货系统问题的报告披露，只要用户注册国都期货会员账号，便可通过点击用户名和跳转页面的方法发现网址连接中的用户参数，而通过修改这一参数，就可获得其他会员的注册信息。

　　值得注意的是，在该报告通过乌云提交至国都期货后，其收到的厂商回应为“无影响，厂商忽略”。

　　21世纪经济报道记者尝试通过前述方法查阅注册用户信息，发现多数用户信息泄露问题已被国都期货所修补屏蔽，但仍有部分用户的个人信息可被检索。

　　业内人士认为，如用户信息因系统漏洞遭到泄露的可能性，容易给用户带来被电话骚扰等诸多影响。

　　“一些客户可能也是高净值人群，这部分个人信息如果不能被机构好好保护，一旦泄露将会给客户的生活带来打扰。”汇金系旗下一家券商营业部负责人表示，“但这种问题出现后维权很麻烦，因为这类信息很难知道是从哪条渠道泄露出去的，所以也容易引发纠纷，到头来又成了营业部的风险。”

　　漏洞频出引反思

　　值得注意的是，部分机构存在多次被曝出存在漏洞的情况。

　　以华夏基金为例，仅2015年以来，就有多达8项系统漏洞被乌云平台所披露，其中涉及权限逾越、任意文件读取、XXS漏洞等多种问题；恒泰证券同期被暴露的问题也多达6项，而国泰君安证券在去年被曝存在漏洞次数更是达24次之多。

　　值得一提的是，上述漏洞若未被涉事机构所忽略，大多数都已完成修补，但其频繁出现的状况仍然引发了业内对证券期货经营机构系统安全性建设的反思。

　　“其实IT系统存在BUG是正常的，也是可以被接受的，只是看不同行业，像金融业对系统漏洞的容忍度应该比较低，因为涉及到资金往来，许多信息更加敏感，所以一旦出现外泄后果也更严重。”一位熟悉金融业务的BAT技术人士称，“但许多机构IT系统建设时间比较短，有的是直接采购，有的则自己做，但整体成熟度有待提高。”

　　“一些漏洞如果被利用，造成内网信息外泄的后果可能很严重，比如黑客会利用漏洞盗取用户信息，甚至查看到券商的交易动作，进而从事内幕交易。”广东一家券商合规部经理认为。

　　而在信息安全人士看来，随着互联网金融的渗透，IT技术在金融业务中的应用更加广泛，证券期货经营机构应进一步提高IT系统的风控标准，适应新形势下的网络安全要求。

　　“想"零漏洞"几乎是不可能的，很多国际顶尖IT公司的系统也会有漏洞被发现，但金融机构应尽可能减少漏洞出现的频率。”前述BAT技术人士称，“如果一个机构反复出现漏洞，说明它并没有重视系统建设这块，所以才头痛医头、脚痛医脚。”

　　而也有业内人士认为，应从监管的角度对证券类机构系统漏洞的现象加强管理、明确权责。

　　“应从监管的高度提高对机构信息系统的监管标准，尽可能避免系统过多出现漏洞。”前述合规部经理表示，“许多时候权责也需明确，比如一些券商用的外部系统造成了客户信息外泄，这时责任应由券商还是应由软件方负担，也应该讲清楚。”