据消息人士透露,多家银行的银行自助终端机存在严重设计缺陷。
入侵过程
几乎所有的银行营业厅里都有方便客户查询回单的自助终端机。国内知名安全企业江南天安猎户实验室发现,在多家银行使用的某品牌终端机的键盘上进行简单操作,即可调出系统登录界面,输入特定的数字之后即可进入终端系统。之后通过回单终端机上提示的服务器地址,访问客户回单自助管理系统。然后利用弱口令最终进入系统,即可设立管理员,定向查询数据库,获取敏感信息。
经实地测试,发现多家银行使用的这类终端系统存在相同隐患。导致任何人都可在没有任何授权的情况下通过简单的操作对终端系统进行查询,获取用户银行账户及用户详细交易数据。并可进行有针对性的商业刺探,信息情报获取等,威胁企业敏感信息,损害客户利益。同时也间接对银行内网产生影响。
据悉,该漏洞已经以内部发文的形式传达到全国各大银行及各金融监管机构,银监会、证监会、保监会,并报送到网信办、国务院电子政务办公厅、工信部、公安部和国家网络与信息安全通报中心。
点评
金融机构的安全因直接涉及到客户的经济利益,始终都是安全的重中之重。此次事件不仅反映了某些厂商的安全意识淡漠,还一定程度上反映出银行IT管理部门对业务安全的忽视。虽然用户回单管理系统并没有直接涉及到财产转移损失,但客户财产信息,尤其是大企业大公司的交易信息均为敏感数据,可以从中窥探商业情报,泄露重要商业内幕。
