據(jù)消息人士透露，多家銀行的銀行自助終端機存在嚴重設計缺陷。

入侵過程

幾乎所有的銀行營業(yè)廳里都有方便客戶查詢回單的自助終端機。國內(nèi)知名安全企業(yè)江南天安獵戶實驗室發(fā)現(xiàn)，在多家銀行使用的某品牌終端機的鍵盤上進行簡單操作，即可調(diào)出系統(tǒng)登錄界面，輸入特定的數(shù)字之后即可進入終端系統(tǒng)。之后通過回單終端機上提示的服務器地址，訪問客戶回單自助管理系統(tǒng)。然后利用弱口令最終進入系統(tǒng)，即可設立管理員，定向查詢數(shù)據(jù)庫，獲取敏感信息。

經(jīng)實地測試，發(fā)現(xiàn)多家銀行使用的這類終端系統(tǒng)存在相同隱患。導致任何人都可在沒有任何授權的情況下通過簡單的操作對終端系統(tǒng)進行查詢，獲取用戶銀行賬戶及用戶詳細交易數(shù)據(jù)。并可進行有針對性的商業(yè)刺探，信息情報獲取等，威脅企業(yè)敏感信息，損害客戶利益。同時也間接對銀行內(nèi)網(wǎng)產(chǎn)生影響。

據(jù)悉，該漏洞已經(jīng)以內(nèi)部發(fā)文的形式傳達到全國各大銀行及各金融監(jiān)管機構，銀監(jiān)會、證監(jiān)會、保監(jiān)會，并報送到網(wǎng)信辦、國務院電子政務辦公廳、工信部、公安部和國家網(wǎng)絡與信息安全通報中心。

點評

金融機構的安全因直接涉及到客戶的經(jīng)濟利益，始終都是安全的重中之重。此次事件不僅反映了某些廠商的安全意識淡漠，還一定程度上反映出銀行IT管理部門對業(yè)務安全的忽視。雖然用戶回單管理系統(tǒng)并沒有直接涉及到財產(chǎn)轉移損失，但客戶財產(chǎn)信息，尤其是大企業(yè)大公司的交易信息均為敏感數(shù)據(jù)，可以從中窺探商業(yè)情報，泄露重要商業(yè)內(nèi)幕。

原文地址：http://www.aqniu.com/news/7201.html