一、招商银行网银信息泄露漏洞是怎么回事
招商银行的网银存漏洞早在三年前就曾被质疑。2014年7月30日,乌云漏洞平台指出,招商银行网银存在定向XSS漏洞,通杀网页、PC端及手机APP,该漏洞可定向窃取信息钓鱼种马。互联网业内人士对此解释称,此漏洞即招行网银某处存储型XSS漏洞,黑客可以通过此漏洞,对招行客户进行“钓鱼”、偷密码,并且可以看到账号余额。不过,招商银行回应称,该行网银有USBKey、动态口令等安全措施的严密保护,客户正常使用不会导致信息泄露和资金损失,请客户放心使用。
二、漏洞银行是什么
谋乐科技(漏洞银行)成立于2012年,目前已成长成国内最大的漏洞发现平台之一,2018年,漏洞银行被美国顶级网络安全投资咨询机构Cybersecurity Ventures评价为“中国最热门最具创新力信息安全公司”之一,入选了Info Security Products Guide机构推出的InfoSecurity PG's Global Excellence Awards榜单,荣获美国CDM杂志评选的年度金奖。凭借其高速成长,被德勤中国评选为高成长高科技50强,福布斯中国也将漏洞银行纳入“中国非上市公司潜力企业”榜单。快公司(Fast Company)给予了漏洞银行中国最具创新公司50强荣誉。2019年,在投资界有着“硅谷圣经”的科技期刊《Red Herring》将漏洞银行纳入Red Herring Top 100 Asia名单。2020年11月,漏洞银行入选“2020年度中国网络安全企业百强名录“,成为为数不多的受到国内外第三方机构技术和市场双重认可的网络安全公司。
属于信息安全领域新兴概念的科技公司。
三、阿里云未及时通报重大漏洞,会造成什么后果?
阿里云发布关于开源社区Apache log4j2漏洞情况的说明。阿里云表示,Log4j2 是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发。
工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
阿里云没有及时通报会造成什么后果?国内企业在发现网络安全漏洞后应该走什么程序通报?观察者网带着这些问题采访了一些业内人士。
漏洞银行联合创始人、CTO张雪松向观察者网指出,Log4j2组件在java类系统中应用极其广泛,漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞,直接造成国内相关机构处于被动地位。
阿里云一名研发工程师发现Log4j2 组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球性的重大漏洞。
阿里云称,因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。此后,阿里云将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
2021财年(2020年4月1日至2021年3月31日跨年度),阿里云营收达601亿元,比上一财年400亿元收入大幅增长50%,在阿里集团财年总营收7173亿元总营收比例为8.38%。600亿元总收入,超过多数上市公司年度总收入。
