新華網上海９月７日電（記者杜放、楊毅沉、張翅）“剛剛注冊股票帳戶，就接到各類薦股推銷電話。”家住廣州市通州區的周男士既震驚又驚訝，她的信息如何那么快就被諸多銷售人員“盯上”？

日前，著名漏洞響應平臺爆光了多家建行、券商、保險、基金公司網站存在漏洞。２０１５年上半年我國金融機構的互聯網安全漏洞數目快速下降，投資者的個人信息、賬號密碼、交易記錄均存在被泄漏的風險。

用戶核心數據漏洞快速下降，銀證保基均有“中招”

記者從“烏云”“補天”等多家漏洞響應平臺獲取的數據顯示，目前，已被爆出的金融機構網站大小漏洞涉及國聯期貨、中國人保等多家著名金融機構，以及部份中小村鎮建行、互聯網Ｐ２Ｐ平臺，漏洞主要集中在注入漏洞、跨站腳本功擊、金融ＡＰＰ安全問題等。這種漏洞不少已被金融機構廠商確認存在信息泄漏等風險。

“互聯網安全問題在保險業、銀行業、證券業普遍存在。”國內最大的漏洞報告平臺烏云負責人說。

－－數家商業建行“中招”，匯款記錄可能泄漏。去年７月以來，就有中國郵政儲蓄建行、包商建行在上述響應平臺被爆出存在漏洞，目前大多數漏洞已被金融機構確認并修補。其中一份已修補的漏洞示例圖中，包商建行網站某系統漏洞此前可被借助查看部份建行匯款記錄，包括匯款金額、時間以及持卡人戶名、賬號、電話號碼等信息。

－－部份期貨公司投資者開戶信息遭到外泄風險。去年６月，國聯期貨在某漏洞相應平臺確認其系統存在漏洞，可能泄露信息；７月以來，國泰君安期貨僅在某響應平臺就被爆出多個漏洞，且均已被廠商確認修補，其中一個注入漏洞被修補前被響應平臺標注為可能泄露券商預約開戶人姓名、手機和郵箱。

－－一些基金公司、保險公司交易信息、保單信息可能泄漏。“補天”漏洞平臺數據顯示，中銀基金此前被爆出某系統漏洞涉及千萬條個人信息，其中包括基金帳號和密碼，另有部份交易記錄遭到外泄風險。中國人保系統此前還被爆出可未授權訪問大量保單信息，包括姓名、身份證、學校等，公司確認目前仍在修補中。

據了解，截止目前，上述金融機構的大部份網站漏洞已被修復，但仍有部份常年未修補。“金融機構網站漏洞導致的害處主要包括才能非法讀取、篡改、添加、刪除數據；擅自添加或刪掉帳號；注入木馬；竊取用戶帳戶、修改用戶設置、盜取敏感信息，因而害處相當嚴重。”國內最大的漏洞相應平臺烏云負責人介紹，僅２０１５年上半年，已被金融機構確認、修復的自身網站安全漏洞的數目已超過今年同期，其中金融機構網站高危和中危漏洞數目的總和，已占總體窺探漏洞總量的９７．２％。

網路安全平臺“ｉ春秋”創始人蔡晶晶說，“總體來講，無論保險、銀行、證券或是新興的互聯網金融，２０１５年上半年互聯網大漏洞，網路安全漏洞的數目相比今年同期有較大下降。”

散戶信息６分錢一條，電話推銷機構為主要賣家

金融機構網站漏洞會給消費者帶來如何的影響？業內人士強調，部份敏感信息通過金融機構網站漏洞竊取，最直接的影響是造成推銷電話恐嚇乃至財產損失。比如，這種漏洞可能泄漏大量用戶數據，如郵箱、手機、銀行帳號等。泄漏的信息主要被用于電話銷售、欺詐投資等用途。

依據相關技術人員提供的線索，記者通過某即時通信軟件聯系到了一家名為“全國散戶電話資源”的聊天群，其中有不少“黃牛”在盜賣已泄漏的開戶散戶個人信息互聯網大漏洞，數據報價０．６元／條。

在一份廣東廣州籍買家提供的包含２００名開戶散戶電話的試用信息中，記者撥通了多個電話，均驗證是在當地券商開戶不久的新顧客。而在部份買家兜售的顧客信息中，標注來始于數家著名券商機構。一些店家聲稱，可以“長期專業從金融機構提取一手優質投資者號碼”，范圍可以“精準至各市區”，隨時在售的包括工行ＶＩＰ、Ｐ２Ｐ理財、股民、貴金屬投資者等電話信息，“空號實時監測，質量絕對有保證，僅僅是ＱＱ群平臺類似我們這樣的銷售群起碼還有幾十家”。

來自名為“股民電話資源群”的一位ＱＱ買家告訴記者，散戶、儲戶電話信息的訂購者主要是電話推銷機構，其中不乏“倫敦金”等地下貴金屬、非法理財等“長期賣家”。

記者從多位買家處了解到，通過第三方支付線上付款，個人信息被交易的過程不超過數分鐘。

多方均可能成為漏洞“制造者”，維權多無門仍待明晰責任

國家網信辦網路安全協調局副主任楊春燕表示，當前網路個人信息泄露現象非常嚴重，非常是農行卡等金融敏感信息泄露現象屢屢發生，被一些不法分子借助從事違規犯罪行為，損害用戶利益。對此，國家高度注重，已在強化相關立法和標準制訂，強化管理，頒布部門規章。同時舉辦專項嚴打，加強宣傳力度。

據介紹，我國法律法規已明晰金融機構等廠商對顧客信息負有保護責任，其網站系統的個人信息保護建設須符合國家標準。諸如，我國首個個人信息保護國家標準《信息安全技術公共及商用服務信息系統個人信息保護手冊》已即將施行。中國人民交行也分別于２０１１年和２０１２年印發了《關于銀行業金融機構做好個人金融信息保護工作的通知》和《關于金融機構進一步做好顧客個人金融信息保護工作的通知》。

“然而，一方面，把握龐大顧客資料和財務信息的金融機構在互聯網舉辦金融業務，其運行系統可能受到黑客等存惡意目的人員的破壞，從中盜取相關信息。另一方面，交行的專網內網路傳輸過程中對于用戶身分的鑒別、管理，很可能存在作假或存在辨識不夠的問題。”國家信息中心專家委員會書記寧家駿說。

“一些金融機構自身技術和人為管理不善，是導致金融消費者信息泄漏的主要誘因。”安全漏洞專家、杭州信息技術有限公司安全咨詢經理馮旭杭說。記者了解到，出于節省成本的要求，目前期貨、公募投資基金等金融機構的網上開戶交易系統多數交由軟件外包商開發、運營，但大多數軟件外包商對用戶信息安全表示“免責”，不提供任何信息安全方面的承諾。

中國電子信息產業發展研究院副教授樊會文強調，雖然根據全省人大常委會《關于強化網路信息保護的決定》，遭到信息泄露的個人有權要求網路服務提供者刪掉有關信息或則采取其他必要舉措給以阻止。但消費者很難通過技術手段驗證泄露源頭的責任，無法維權。“一旦發生資金被侵吞，好多時侯會出現各方推卸責任，有關個人信息隱私保護的法律法規尚待建立。”

記者了解到，目前國家網信辦、工信部、公安部等執法部門已陸續舉辦了防范整治黑客地下產業鏈、打擊整治聯通惡意程序等系列專項嚴打行動，清不僅大量從事黑客功擊、病毒傳播的惡意ＩＰ地址、域名和聯通應用程序，嚴厲嚴打用戶信息泄露等網路犯罪行為。

“除了監管機構，金融機構也應把其互聯網金融業務放到網路安全、信息安全的新環境下考慮。”寧家駿覺得，一旦發覺風險端倪，金融機構有責任及時處理；倘若引起重大損害，監管部門應限期機構賠付投資者損失。