客戶資金頻遭盜刷,信息系統接連出現故障,業務系統出現停滯,正在沖刺H股發行的光大銀行遭遇來自客戶和投資者的雙重質疑:光大銀行的信息系統能否保證客戶的資金安全?頻頻發生事故的信息系統能否支持光大銀行下一步的業務發展?
針對光大銀行信息系統的重大漏洞,銀監會前不久專門委托了權威的國家信息安全測評機構對該行網上銀行和網站系統進行測試,發現光大銀行存在銀行內部信息泄露風險、釣魚網站攻擊風險、信息安全防護措施不嚴密等三方面重大漏洞,并責令其立即整改。
危險的光大網銀
2011年1月28日,星期五,正是春節前刷卡的高峰日,然而,有些光大銀行的持卡用戶卻發現手中的卡無法使用,不僅借記卡無法用,信用卡也無法刷卡,光大銀行對此事卻秘而不宣。
原來,這次是光大銀行在北京陶然亭機房的一臺光傳輸設備板卡出現故障,造成線路運行不穩定,導致光大銀行部分銀聯和貸記卡業務一度中斷。更令人不可思議的是,光大銀行用了近一周的時間才更換了該設備板卡,在這期間,所有業務均在無備用線路的情況下運行,潛在風險極大。
其實,這已不是光大銀行第一次發生這樣的事故。也就在今年年初,光大銀行客戶遭釣魚網站惡意盜取密碼,客戶資金發生損失。去年光大銀行南京分行客戶也是遭遇網上銀行被盜,涉及金額高達20萬元。而該行上海分行對外銷售的面值1000元的銀行儲值卡,被犯罪嫌疑人通過網上銀行盜轉部分資金,此事已由上海銀監局進行核查。
而去年光大銀行發生的核心業務系統故障更是驚動了國務院,銀監會專門就此事向國務院做了匯報。
2010年8月30日中午12時02分起,光大銀行核心系統及總行前置系統交易出現擁堵,造成全國網點交易緩慢,柜面業務、網上銀行、電話銀行、電子支付等業務均受到影響。該事故引起業務交易擁堵,系統完全中斷時間達12分34秒,對外正常服務受到影響時間約5小時左右。事后查證,該事故造成核心業務系統未成功記賬及重復記賬共計5萬多筆。
銀監會評估光大網銀
光大銀行信息科技系統接連出現故障,引起了銀監會的高度關注。
前不久,銀監會委托國家信息安全專業測評機構對光大銀行網上銀行和網站系統進行測試,發現了該網站存在內部信息泄露風險、釣魚網站攻擊風險以及信息安全防護措施不嚴密等問題。
銀監會認定,光大銀行網站存在內部敏感信息泄露風險,可能為外部攻擊者利用以了解網站機制、內部網絡結構,甚至獲取管理權限,進一步攻擊網站。例如:網站主頁和網上銀行等頁面沒對網頁出錯信息進行有效保護,出錯信息包含內部地址及網站配置信息,信用卡中心頁面網站和基金咨詢頁面網站源代碼包含內部地址信息,外部攻擊者可進一步了解當前網站所屬網絡的結構情況、收集有關應用程序的敏感信息。
銀監會同時認定光大銀行信息安全防護措施不嚴密。該行網站養老金管理中心頁面登錄請求信息在發送至服務器的過程中使用明文傳輸,易造成用戶登錄信息被截獲。
銀監會的檢測還發現,光大網銀有被釣魚網站攻擊的風險。光大銀行養老金管理中心頁面和基金咨詢頁面存在釣魚漏洞風險,由于網站應用程序未對用戶的輸入參數進行有效檢驗,惡意攻擊者可能誘騙用戶訪問含有惡意腳本代碼的鏈接地址,竊取用戶敏感信息。
銀監會根據這個評估結果,要求光大銀行進一步深入分析上述各類風險,認真研究其深層次的技術根源和管理漏洞,針對有關問題制定切實可行的解決方案和整改計劃,并盡快實施,及時堵塞漏洞,化解上述各類風險。