`
mj-beijing
  • 浏览: 39100 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

互联网金融两大安全问题 大平台更受黑客青睐

阅读更多

互联网金融两大安全问题 大平台更受黑客青睐
来源:馨金融


对于“生活”在互联网上的一代来说,关于我们的大部分信息都在不知不觉间被“记录”了。而那些留在虚拟世界里的数据越来越多,它们组合成了一个个人物“画像”,即便没有见到面,这些信息也足以告诉大家:我们是谁,我们是什么样的人,我们喜欢什么,讨厌什么…...
“数据即一切”,这个认知被这个时代的所有企业奉为神祗。那些掌控着最多我们数据的企业成为了最有价值的公司,但可怕的是,如此重要的资产却并没有得到理应的保护,我们的数据依然被泄露、盗取、贩卖、滥用。
京东12G数据泄露事件只是网络安全危机的冰山一角,或许它并不是危机最深重的那家公司。不过,作为国内最知名的互联网公司之一,作为一家已经在做技术输出业务的公司(京东金融),它依然出现了这么严重的网络安全问题,这件事本身就值得引起大家,以及整个行业的警惕和重视。
根据京东回应称,该数据源于2013年Struts 2的安全漏洞问题,该问题因框架自身的安全性问题使系统极易被攻击而产生。那么,问题来了:什么是Struts 2?为什么该框架自身安全性有问题,包括京东这样的公司还要采用?我们要如何更好的保护个人的信息安全?
今天,特别请我的朋友来给大家答疑解惑,他们是互联网安全服务商斗象科技的创始人袁劲松,联合创始人张天琪,这两位也是国内网络应用安全、安全研发、安全架构、漏洞挖掘等领域专家,以下就是他们分享:
01
Struts和它的安全漏洞
Struts是平时Java EE应用开发中最常用的开源MVC框架,从Struts1发布现在的Struts 2已有16年的历史,目前是Apache基金会赞助的项目,Struts2是Struts的下一代产品,同类的框架还有Spring等。
Struts2官方历史上共爆出了40多个漏洞,其中大部分都与OGNL表达式有关。OGNL表达式是Struts2框架的核心机制之一,是一种功能强大的表达式语言,用来GET和SET Java对象的属性,它旨在提供一个更高抽象度语法来对Java Objects Map进行导航,OGNL在各部分逻辑中都有应用。
绝大多数OGNL相关的安全漏洞均由于框架底层对用户输入没有做完整且有效的过滤与验证,导致攻击者直接把恶意的用户输入当成表达式执行,便于控制系统可以执行任意代码、任意命令,这类漏洞危害等级普遍较高。
尽管官方一次次的修复,但每次都是治标不治本。而且官方团队对安全的意识和理解也存在一定偏差,导致修复被一次次的绕过。当时这个漏洞被披露的时候,由于利用难度较低,加上很多攻击者在互联网上发布了自动化检测和利用工具,这也大幅降低了漏洞利用的门槛。
加之Struts2框架的流行程度,使得顷刻之间大面积网站被攻击。此次,按照京东的说明,其数据泄露事件就源于2013年7月爆发的一次高危漏洞。当时国内很多知名网站都受到此漏洞不同程度的影响。
站在企业角度,很多应用Struts 2框架的业务,出于对升级可能造成的业务风险的考虑,不一定会直接照官方升级,而且并不是所有团队都有这样的技术能力对自己的业务线进行整体升级,以至于问题被遗留下来。
据我们统计,大多数企业是没有专职的安全团队,安全的职责很多时候由运维兼任。这也是导致很多企业无法第一时间得知这类安全通告,也缺乏相应的技术能力来判断事件的严重性,难以进行及时且有效的决策。
而目前很多大型互联网公司都喜欢在开源框架的基础上根据业务情况研发自己的框架,自己定义安全模型。像阿里巴巴有一套通用的WebX框架就是基于Spring的基础上进行了很多改进。
有能力在开源框架基础上进行二次开发的团队,在选型上会考虑安全性,也会把一些安全机制进行定制与完善,如常见的:输入验证、输出编码、身份验证、会话管理、密码管理、访问控制、错误处理与日志、数据加密、资源管理等。这些常见功能在框架层面抽象成具体的安全API,供业务开发者消费,以便加强整体业务线安全。
02
互联网金融成数据泄露重灾区
金融行业一直是网络安全的重灾区,也是黑客攻击的重要目标,这主要是受到利益的驱动。
在金融平台里面,一般用户的认证信息,交易数据,资产数据、信用卡、身份信息等是攻击者较为关注的。这些信息一旦被恶意团体利用,一方面导致洗钱,卖给zhapian团伙,另一方面卖给竞争对手进行购买力和潜在客户的分析。
另外,一旦互金平台受到黑客攻击,发生信息泄露的事件后,可能会影响平台的信誉,会造成投资人会对平台信任度的降低,进而引发投资人撤离资金,平台资金链断裂,甚至崩盘的风险。所以,互金公司对此尤为紧张,不少公司都会接受黑客的勒索,宁愿花钱了事。
过去几年,互联网金融公司发展迅猛,一些比较大的公司还是很注重网络安全建设。但确实也有很多公司过于专注于业务领域,对安全并不重视。更有甚者是做“一锤子”买卖的临时性平台,安全性上就更不会顾及。
不过,大家也不要产生偏见,企业的安全健康状态如同木桶效应般,任何一块短板都会造成无法弥补的损失,因此在攻防层面不能说大型企业比中小型企业或者其它互联网金融企业更安全。
反而一些大的互金公司,由于旗下资产与业务线众多,会较受黑客的青睐。因为,当企业频繁更新新的业务线,每一个业务线、每一个版本发布,都可能一定程度上存在安全风险。从安全运维角度,有更多的资产需要检测与防护、监控与响应。
所以,关键还是要看企业对待安全的态度是否严谨,安全流程管理是否规范、技术团队实力、以及领导层对安全的重视和投入等方方面面因素,无法一概而论。
企业应用的软件也随着互联网发展,时时刻刻可能会爆发出严重漏洞,比如之前的Struts2漏洞。
互联网金融行业里常见的问题,大致分为两大类:
1. 金融业务相关安全问题,如薅羊毛、业务风控(征信)等。薅羊毛种类众多,比如虚假注册来骗取返现,提交虚假资料来骗贷等问题。很多互联网金融公司在征信方面也是做得不到位的,无法有效判断借贷人身份的合法性。
2. 用户信息相关安全问题,如越权、注入等。前者比如我可以以我的账号权限去查看别人的投资理财情况,随意修改他人的账户密码,甚至拖库等行为。
03
如何保护自己的数据安全
现在大家关注的是一些公司数据被盗事件,这主要取决于公司的风控机制。我们接触到的很多公司对于敏感数据的权限管控并不是很到位,普通员工都能有机会接触到企业核心数据,内部人员利用不完善的信息安全管理制度,盗取并贩卖核心数据,造成敏感信息泄露。
但其实,曝光出来数据泄露事件只是冰山一角,更大的危机源于我们日常的生活当中。
现在我们能想到的各种数据,包含个人基本信息、家庭组成信息、个人健康及财务信息等都已经通过各种途径泄露出来了。而不法份子可以利用这类信息实施各种恶意行为,如电信zhapian等。或利用泄露数据进行数据分析,如定向推销等。
其实,目前来看,用户的帐密信息不一定是最有价值的,反而是用户的一些衣食住行、健康状况、财务信息等信息更有价值。因为通过这些消费数据能够完整的跟踪一个人,全面分析一个人。
很多人并没有意识到,其实你的个人信息、数据往往在不经意间便已经被泄露。比如,在公共场所连接免费wifi,扫描促销二维码等,可能会导致你的流量被劫持、中间人攻击、手持终端的入侵。
还有一些常见场景中,比如,促销活动填写的个人信息,网站注册,租房信息发布等,还有朋友圈里晒机票,晒车票,晒身份证等各种看似无害行为,以及快递包裹上的快递单信息等。
互联网时代,个人隐私是相对的,换言之,只要生活在网上,你的很多个人信息都难免不被暴露。所以没有办法完全保护隐私。但是普通用户在日常上网过程中,可以注意几点:
1.准备两个手机号,一个专门处理各种非重要事情时填写,一个只给亲朋好友,不要用于任何注册和业务办理。
2. 不要泄漏自己个人信息,尤其是在很多网站注册的时候,不要用真实的个人信息。
3. 使用社交产品、网站尽量不要发布个人有关的信息,如家庭地址、亲人照片等。
   指维科技成立于2014年,总部在北京,由用友金融,宜信、顺驰中国高管及金融专业人士共同创立,现有员工60人。指维科技致力于互联网金融企业服务,主要从事金融企业运营管理软件研发和服务,公司所提供的P2P网贷平台、物权众筹平台、财富管理系统、贷款管理系统目前已成功应用于几百家企业、几万名终端用户。指维科技的主要客户包括冠群,中舟伟业,普达,中晟资产,安信卓越,维联财富,嘉业,同信金融,中融国华,盈利金融,华夏万家等近百家企业。
  随着政府对于互联网金融监管力度日益加大,互联网金融行业正面临前所未有的发展机遇。以云计算和大数据技术为代表的互联网技术正在改变金融服务的未来。技术是支持金融市场繁荣发展的主要工具和动力。
  技术与金融的融合,使企业在参与竞争的过程中形成了一个良性的竞争形态。指维科技一直以来合规经营和技术创新也彰显了负责任的企业面貌。技术创新是指维科技安身立命的根本,指维科技通过这一优势,不断做好将金融服务,用自己的实力重塑互联网金融利好形象。
  指维科技总部地址:北京市朝阳区华腾世纪总部公园A座6层
  网址:www.smtcloud.com
  联系电话:010–53688599


分享到:
评论

相关推荐

    基于P2P平台分析互联网金融风险——以“善林金融”为例.pdf

    信息安全风险和技术风险也是互联网金融平台普遍存在的问题。由于互联网平台处理大量的交易信息和账户信息,这些数据存在被黑客攻击、木马病毒感染的风险。而新兴的网络威胁和技术漏洞,需要平台不断提升风险管理和...

    国内互联网金融产品安全研究.pdf

    互联网金融产品虽然方便用户进行金融活动,但它们通常没有实体机构支撑,用户无法直观地了解资金的流向和使用情况,加之虚拟平台容易受到黑客攻击,这些都给用户资金安全带来隐患。 第四,法律监管安全问题也是影响...

    当下互联网金融发展中的问题及对策毕业论文.doc

    互联网金融业务的风险控制存在一定的薄弱性,容易受到黑客攻击、欺诈、洗钱等风险的影响。 最后,监管不健全是互联网金融发展的第三个主要问题。我国互联网金融监管机构缺乏明确的监管职责和监管机制,导致互联网...

    互联网金融对当代大学生的影响.docx

    互联网金融涵盖了诸如在线借贷、消费平台、众筹、P2P贷款、小额信贷以及互联网投资理财等多种形式,极大地改变了大学生的消费习惯、理财观念和金融行为。 一、互联网金融的特点与优势 1. 低成本:互联网金融通过...

    互联网金融网络安全探析.pdf

    然而,互联网金融的繁荣也伴随着一系列网络安全问题,这些问题不仅对金融机构的安全构成威胁,更直接影响到用户的资金安全和个人隐私。本文将对互联网金融网络安全的主要风险进行深入剖析,并提出相应的防范策略。 ...

    增长黑客在互联网金融行业的应用

    ### 增长黑客在互联网金融行业的应用 #### 自我介绍与背景 覃超作为本文档的作者,具有丰富的行业经验和深厚的专业背景。他在2009至2010年间就读于卡内基梅隆大学,并于2010至2014年期间在Facebook担任早期员工。...

    互联网金融模式存在的安全隐患及应对策略.pdf

    互联网金融是金融与互联网技术深度融合的产物,它依托于网络技术提供...总之,互联网金融的安全问题需要政府、平台、用户等多方面的共同努力,采取多元化、综合性的措施,才能实现互联网金融的健康发展和可持续发展。

    浅析互联网金融模式存在的安全隐患.docx

    1. **数据与信息安全风险**:互联网金融依赖于大量的在线交易和数据处理,若平台对数据保护措施不足,容易遭受黑客攻击或数据泄露,从而威胁用户的资金安全和个人隐私。 2. **操作风险**:由于互联网金融平台涉及...

    互联网金融平台风险管理.docx

    ### 互联网金融平台风险管理 #### 引言 随着互联网技术的迅猛发展,互联网金融平台作为新兴业态,...未来,随着监管环境的不断完善和技术的进步,互联网金融平台有望更好地服务于实体经济,推动经济社会可持续发展。

    大数据时代互联网金融的风险与防控策略.pdf

    由于互联网金融平台对信息系统的依赖,黑客攻击、特洛伊木马软件和钓鱼欺诈等信息泄露风险成为互联网金融必须面对的重大威胁。黑客利用网络漏洞非法进入计算机系统,盗取重要信息;特洛伊木马软件能够拦截和传送用户...

    互联网金融发展存在的问题及未来趋势——以合拍在线互联网金融服务有限公司为例1.zip

    1. 监管强化:随着互联网金融问题的暴露,政府将加强监管,出台更完善的法规,引导行业健康发展。例如,合拍在线等企业需要更加注重合规经营,适应监管环境的变化。 2. 技术驱动:大数据、人工智能、区块链等新技术...

    互联网金融的风险与应对——以农商银行为例.pdf

    例如,互联网金融平台可能遭遇黑客攻击、系统故障等,导致数据泄露、资金损失等严重后果。此外,一些平台对资金流向和业务流程缺乏透明度,也给技术风险的管理带来了挑战。 信息不对称风险是指在互联网金融交易中,...

    旁观视角:看互联网金融“安全”.pdf

    本文将从旁观者的视角深入探讨互联网金融的安全问题,涉及应急响应、云安全、AI应用、漏洞分析以及安全管理等多个方面。 首先,应急响应是互联网金融安全体系中的关键一环。当面临网络攻击或数据泄露等紧急情况时,...

    黑客大曝光:网络安全机密与解决方案(第7版)

    黑客大曝光:网络安全机密与解决方案(第7版)

    我国商业银行互联网金融问题与应对.pdf

    互联网金融的开放性使得非法操作和数据安全问题频发,黑客攻击和内部人员非法处理网络数据的可能性加大,给银行的结算系统安全运行带来了隐患。 4. 应对措施与建议 为了应对互联网金融带来的挑战,商业银行可以采取...

    计算机行业周报:金融安全问题受关注,网络安全渗透率有望提升.pdf

    文件指出,在计算机行业中,金融安全问题正在受到越来越多的关注。这表明随着金融业务的数字化转型不断加速,金融机构所面临的安全风险也在增加。金融业务的复杂性、涉及的高资产价值以及对用户利益的重要性,使得...

    互联网金融发展存在的问题及未来趋势--以合拍在线互联网金融服务有限公司为例.zip

    1. 监管强化:随着互联网金融问题的暴露,政府将逐步完善相关法规,强化监管,实现行业的健康有序发展。合拍在线需主动适应监管要求,加强合规建设。 2. 技术驱动:区块链、大数据、人工智能等新技术将深度融入...

    我国互联网金融风险管理研究.pdf

    1. 网络技术风险:由于业务主要在线上完成,互联网金融平台容易受到病毒攻击和黑客入侵,造成个人信息和隐私泄露,以及数据安全无法得到保障。 2. 系统性风险:互联网金融平台可能出现信用风险和平台保障风险,如...

    基于以电商平台为核心的互联网金融探讨.pdf

    网络环境的开放性使得金融信息更容易遭受黑客攻击或病毒感染,一旦出现安全问题,可能导致用户信息泄露和资金损失,这些都对用户的财产安全构成了威胁。同时,消费者对网络安全的担忧也可能会限制互联网金融的进一步...

Global site tag (gtag.js) - Google Analytics