又一年“3·15”消費者權(quán)益保護(hù)日到來之際，證券期貨經(jīng)營機構(gòu)的信息系統(tǒng)漏洞和安全隱患的蟄伏，成為關(guān)注焦點之一。
　　記者通過漏洞平臺烏云(WooYun)調(diào)查發(fā)現(xiàn)，多家券商、基金的信息系統(tǒng)存在或曾存在漏洞或安全隱患，部分漏洞甚至將導(dǎo)致用戶、員工存在賬號、密碼泄露或重置風(fēng)險；但另一方面，部分被報告存在問題的機構(gòu)選擇了對漏洞進(jìn)行忽略。
　　多券商存漏洞被忽略
　　據(jù)記者根據(jù)烏云不完全統(tǒng)計，自2015年以來，涉及證券行業(yè)的系統(tǒng)漏洞報告多達(dá)369項、涉及基金行業(yè)的多達(dá)175項，涉及期貨行業(yè)的則為45項，合共達(dá)589項。
　　烏云網(wǎng)(WooYun)漏洞平臺由前百度安全專家方小頓創(chuàng)立，其定位于一個位于廠商和安全研究者之間的安全問題反饋平臺。
　　統(tǒng)計發(fā)現(xiàn)，僅在2016年內(nèi)在烏云平臺報告存在系統(tǒng)漏洞的證券期貨機構(gòu)數(shù)量就已不少于15家。其中，雖部分漏洞曾在烏云平臺被提交，但仍有許多機構(gòu)認(rèn)為無影響而選擇了“忽略”。
　　統(tǒng)計顯示，僅在2016年內(nèi)，已提交漏洞卻被“忽略”的券商就包括西部證券(002673,股吧)、中信建投證券、東北證券(000686,股吧)、中航證券和恒泰證券等。
　　其中，XSS漏洞、SQL注入、弱口令等漏洞成為了前述機構(gòu)存在的主要問題。例如今年1月恒泰證券人力資源管理系統(tǒng)就被披露存在“弱口令”問題，該漏洞易導(dǎo)致數(shù)千名員工姓名、身份證、郵箱、學(xué)歷等信息出現(xiàn)泄露。
　　所謂弱口令，就是指系統(tǒng)用戶口令存在容易被他人猜測或破解工具破解的問題。無獨有偶的是，西部證券、中信建投證券等公司也存在“弱口令”問題。
　　“弱口令通俗的說就是密碼比較簡單，容易遭到程序暴力破解，比如密碼用123456之類的。”一位BAT技術(shù)人士表示，“一些完善的系統(tǒng)在注冊時會有防范弱口令防范機制，比如用簡單密碼無法成功注冊。”
　　不過，該問題在烏云平臺提交后，顯示被恒泰證券所忽略。
　　“有的公司覺得問題不大的，可能就會選擇忽略，但雖然注明了忽略，也仍然有可能做出修補措施�！币晃唤咏鼮踉迫耸扛嬖V記者。
　　部分基金、期貨“中槍”
　　信息系統(tǒng)安全隱患并不止于證券公司，一些基金公司和期貨公司也存在類似問題。
　　例如部分機構(gòu)還存在SQL注入漏洞，即通過插入SQL命令到相應(yīng)的表單或頁面來達(dá)到欺騙服務(wù)器、獲取數(shù)據(jù)庫信息等目的�！斑@也容易導(dǎo)致用戶信息遭遇泄露�！鼻笆鯞AT技術(shù)人士稱。
　　據(jù)烏云平臺披露，易方達(dá)基金某網(wǎng)站就被曝存在SQL注入漏洞，該漏洞同樣顯示被“廠商忽略”；其產(chǎn)生的原因來自于與其合作的一款網(wǎng)絡(luò)在線溝通軟件“Live800系統(tǒng)”。但據(jù)易方達(dá)基金方面稱，該漏洞已于去年完成修復(fù)。
　　此外，相應(yīng)的設(shè)計缺陷也曾存在于部分期貨公司，例如國都期貨官網(wǎng)主站就被曝存在權(quán)限漏洞，而該問題易導(dǎo)致其注冊會員的用戶名、電話、郵箱、姓名等相關(guān)資料出現(xiàn)泄露；此外，國都期貨網(wǎng)站被曝還存在XSS漏洞等問題。
　　根據(jù)烏云一份關(guān)于國都期貨系統(tǒng)問題的報告披露，只要用戶注冊國都期貨會員賬號，便可通過點擊用戶名和跳轉(zhuǎn)頁面的方法發(fā)現(xiàn)網(wǎng)址連接中的用戶參數(shù)，而通過修改這一參數(shù)，就可獲得其他會員的注冊信息。
　　值得注意的是，在該報告通過烏云提交至國都期貨后，其收到的廠商回應(yīng)為“無影響，廠商忽略”。
　　21世紀(jì)經(jīng)濟(jì)報道記者嘗試通過前述方法查閱注冊用戶信息，發(fā)現(xiàn)多數(shù)用戶信息泄露問題已被國都期貨所修補屏蔽，但仍有部分用戶的個人信息可被檢索。
　　業(yè)內(nèi)人士認(rèn)為，如用戶信息因系統(tǒng)漏洞遭到泄露的可能性，容易給用戶帶來被電話騷擾等諸多影響。
　　“一些客戶可能也是高凈值人群，這部分個人信息如果不能被機構(gòu)好好保護(hù)，一旦泄露將會給客戶的生活帶來打擾�！眳R金系旗下一家券商營業(yè)部負(fù)責(zé)人表示， “但這種問題出現(xiàn)后維權(quán)很麻煩，因為這類信息很難知道是從哪條渠道泄露出去的，所以也容易引發(fā)糾紛，到頭來又成了營業(yè)部的風(fēng)險�！�
　　漏洞頻出引反思
　　值得注意的是，部分機構(gòu)存在多次被曝出存在漏洞的情況。
　　以華夏基金為例，僅2015年以來，就有多達(dá)8項系統(tǒng)漏洞被烏云平臺所披露，其中涉及權(quán)限逾越、任意文件讀取、XXS漏洞等多種問題；恒泰證券同期被暴露的問題也多達(dá)6項，而國泰君安證券在去年被曝存在漏洞次數(shù)更是達(dá)24次之多。
　　值得一提的是，上述漏洞若未被涉事機構(gòu)所忽略，大多數(shù)都已完成修補，但其頻繁出現(xiàn)的狀況仍然引發(fā)了業(yè)內(nèi)對證券期貨經(jīng)營機構(gòu)系統(tǒng)安全性建設(shè)的反思。
　　“其實IT系統(tǒng)存在BUG是正常的，也是可以被接受的，只是看不同行業(yè)，像金融業(yè)對系統(tǒng)漏洞的容忍度應(yīng)該比較低，因為涉及到資金往來，許多信息更加敏感，所以一旦出現(xiàn)外泄后果也更嚴(yán)重�！币晃皇煜そ鹑跇I(yè)務(wù)的BAT技術(shù)人士稱，“但許多機構(gòu)IT系統(tǒng)建設(shè)時間比較短，有的是直接采購，有的則自己做，但整體成熟度有待提高。”
　　“一些漏洞如果被利用，造成內(nèi)網(wǎng)信息外泄的后果可能很嚴(yán)重，比如黑客會利用漏洞盜取用戶信息，甚至查看到券商的交易動作，進(jìn)而從事內(nèi)幕交易�！睆V東一家券商合規(guī)部經(jīng)理認(rèn)為。
　　而在信息安全人士看來，隨著互聯(lián)網(wǎng)金融的滲透，IT技術(shù)在金融業(yè)務(wù)中的應(yīng)用更加廣泛，證券期貨經(jīng)營機構(gòu)應(yīng)進(jìn)一步提高IT系統(tǒng)的風(fēng)控標(biāo)準(zhǔn)，適應(yīng)新形勢下的網(wǎng)絡(luò)安全要求。
　　“想"零漏洞"幾乎是不可能的，很多國際頂尖IT公司的系統(tǒng)也會有漏洞被發(fā)現(xiàn)，但金融機構(gòu)應(yīng)盡可能減少漏洞出現(xiàn)的頻率�！鼻笆鯞AT技術(shù)人士稱，“如果一個機構(gòu)反復(fù)出現(xiàn)漏洞，說明它并沒有重視系統(tǒng)建設(shè)這塊，所以才頭痛醫(yī)頭、腳痛醫(yī)腳�！�
　　而也有業(yè)內(nèi)人士認(rèn)為，應(yīng)從監(jiān)管的角度對證券類機構(gòu)系統(tǒng)漏洞的現(xiàn)象加強管理、明確權(quán)責(zé)。
　　“應(yīng)從監(jiān)管的高度提高對機構(gòu)信息系統(tǒng)的監(jiān)管標(biāo)準(zhǔn)，盡可能避免系統(tǒng)過多出現(xiàn)漏洞�！鼻笆龊弦�(guī)部經(jīng)理表示，“許多時候權(quán)責(zé)也需明確，比如一些券商用的外部系統(tǒng)造成了客戶信息外泄，這時責(zé)任應(yīng)由券商還是應(yīng)由軟件方負(fù)擔(dān)，也應(yīng)該講清楚�！�