白帽黑客:部分银行险企基金公司网络平台确存漏洞

过保险公司确认。

　　补天漏洞响应平台安全专家邓焕表示，部分信息包括居民身份证、薪酬等敏感信息。这些信息一旦泄露，造成的危害不仅是个人隐私全无，还会被犯罪分子利用。例如，被用于复制身份证、盗办信用卡、盗刷信用卡等一系列刑事或经济犯罪。

　　部分金融机构均有涉及

　　2015年7月18日，经党中央、国务院同意，《关于促进互联网金融健康发展的指导意见》正式对外发布。《指导意见》明确提出互联网金融的主要业态包括互联网支付、网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等。

　　在政策环境一片向好的大形势下，“互联网+金融”热极一时，部分上市公司也是稍沾该概念其股价便一路飙涨。而“互联网+金融”在进入快车道的同时，平台漏洞、系统漏洞也如影随形。

　　7月14日，白帽黑客system-gov在补天漏洞平台公布了一则某基金公司系统漏洞，根据漏洞描述，该漏洞可导致黑客获取：百万个基金账户+密码;百万名用户详细信息;基金交易记录;实时证券/基金结算数据;海量短信记录等敏感信息。

　　更为可怕的是，该漏洞可使得该基金公司的“短信系统沦陷”，并利用漏洞进行短信诈骗;该漏洞也能使该基金公司的邮件系统沦陷，黑客可随意发送钓鱼邮件;该漏洞亦可导致该基金公司的坐席系统也形同虚设，黑客可渗透至基金公司内网。

　　system-gov在发布漏洞的同时，也附带贴出该基金公司部分打过马赛克的客户账户与密码。漏洞爆出后的7月17日11时36分，该基金公司确认了该漏洞的存在，并表示“感谢system_gov发现，我们尽快解决”。

　　金融领域中，并非基金公司存在漏洞，银行也可能存在漏洞，另一漏洞检测平台漏洞盒子前不久发布了编号为“Vulbox-2015-07971”的漏洞，该漏洞可使得某银行贷款系统泄露大量用户信息，包括银行卡号、电话、身份证、余额等。

　　事实上，《证券日报》(zqrbbaoxian)记者查阅补天漏洞平台已经确认存在漏洞的金融机构还包括券商、P2P等金融机构，而这些漏洞或可导致大量的客户信息被泄露，对众多消费者的资金安全形成隐患，看似安全的互联网金融平台也并非无懈可击。