为实现对我国互联网金融平台网络安全总体态势的宏观监测,国家互联网应急中心发挥技术优势,建设了国家互联网金融风险分析技术平台网络安全监测功能,对我国互联网金融相关网站、移动 APP 等的安全风险进行监测。
互联网金融平台由于自带金钱属性,一直以来都是黑客重点关注的目标,每年,针对互联网金融的黑客攻击层出不穷。,信息流的安全性是互联网金融发展的基础和保障。互联网金融信息系统在运行过程中一旦发生数据泄露、盗取、篡改等事件,会使各方蒙受巨大损失,甚至影响经济和社会稳定。
互联网金融安全
互联网金融网站安全情况
2018 年,CNCERT 发现互联网金融网站的高危漏洞 1,700 个,其中 XSS 跨站脚本类型漏洞占比最多有 782 个(占比 46.0%);其次是 SQL 注入漏洞 476 个(占比 28.0%)和远程 代码执行漏洞 85 个(占比 5.0%),如图 18 所示。近年来, 随着互联网金融行业的发展,互联网金融平台运营者的网络 安全意识有所提升,互联网金融平台的网络安全防护能力有所加强,特别是规模较大的平台,但仍有部分平台安全防护能力不足,安全隐患较多,CNCERT 监测发现高危互联网金融 网站 330 个,其中部分平台存在的高危漏洞数量超过 10 项。
互联网金融网站高危漏洞分布情况
互联网金融 APP 安全情况
在移动互联网技术发展和应用普及的背景下,用户通过互联网金融 APP 进行投融资的活动愈加频繁,绝大多数的互联网金融平台通过移动 APP 开展业务,且有部分平台仅通过移动 APP 开展业务。2018 年,CNCERT 对 430 个互联网金融APP 进行检测,发现安全漏洞 1,005 个,其中高危漏洞 240个,明文数据传输漏洞数量最多有 50 个(占高危漏洞数量的 20.8%),其次是网页视图(Webview)明文存储密码漏洞有48 个(占 20.0%)和源代码反编译漏洞有 31 个(占 12.9%), 如图 19 所示。这些安全漏洞可能威胁交易授权和数据保护, 存在数据泄露风险,其中部分安全漏洞影响应用程序的文件 保护,不能有效阻止应用程序被逆向或者反编译,进而使应用暴露出多种安全风险。
互联网金融移动 APP 高危漏洞分布情况
区块链系统安全情况
伴随互联网金融的发展,攻击者攻击互联网金融平台牟 利的手段不断升级,并融合了金融业务特征,出现“互联网+金融”式攻击,尤其是在区块链数字货币等业务领域表现得更为明显。
首先,区块链系统往往自带金融属性,直接运行数字货币等资产;其次,区块链相关代码多为开源,容易暴露风险;第三,区块链系统在对等网络环境中运行,网络中的节点防护能力有限;第四,用户自行保管私钥,一旦丢 失或盗取无法找回;第五,相关业务平台发展时间短,系统安全防护经验和手段不完善、全面性和强度不足。
2018 年 3 月,虚拟数字货币交易平台“币安”遭攻击。攻击者盗取用户在该平台的交易接口密钥,通过自动化交易大幅拉升“维 尔币(VIA)”的价格。攻击者提前在币安埋下 VIA 的高价卖单,利用其巨额涨幅获取暴利。同时黑客通过散播攻击的消息,导致短时间市场出现恐慌,市场价格大幅下跌,黑客可在其他交易平台通过瞬时做空的形式获利;这种攻击方式通过盗取用户信息恶意操纵行情变化获利,方式新颖,防范难度大。
閱讀更多 大米粒說安全 的文章
