光大银行网银事故频发客户质疑 银监会亲自问诊

 客户资金频遭盗刷,信息系统接连出现故障,业务系统出现停滞,正在冲刺H股发行的光大银行遭遇来自客户和投资者的双重质疑:光大银行的信息系统能否保证客户的资金安全?频频发生事故的信息系统能否支持光大银行下一步的业务发展?

 针对光大银行信息系统的重大漏洞,银监会前不久专门委托了权威的国家信息安全测评机构对该行网上银行和网站系统进行测试,发现光大银行存在银行内部信息泄露风险、钓鱼网站攻击风险、信息安全防护措施不严密等三方面重大漏洞,并责令其立即整改。

 危险的光大网银

 2011年1月28日,星期五,正是春节前刷卡的高峰日,然而,有些光大银行的持卡用户却发现手中的卡无法使用,不仅借记卡无法用,信用卡也无法刷卡,光大银行对此事却秘而不宣。

 原来,这次是光大银行在北京陶然亭机房的一台光传输设备板卡出现故障,造成线路运行不稳定,导致光大银行部分银联和贷记卡业务一度中断。更令人不可思议的是,光大银行用了近一周的时间才更换了该设备板卡,在这期间,所有业务均在无备用线路的情况下运行,潜在风险极大。

 其实,这已不是光大银行第一次发生这样的事故。也就在今年年初,光大银行客户遭钓鱼网站恶意盗取密码,客户资金发生损失。去年光大银行南京分行客户也是遭遇网上银行被盗,涉及金额高达20万元。而该行上海分行对外销售的面值1000元的银行储值卡,被犯罪嫌疑人通过网上银行盗转部分资金,此事已由上海银监局进行核查。

 而去年光大银行发生的核心业务系统故障更是惊动了国务院,银监会专门就此事向国务院做了汇报。

 2010年8月30日中午12时02分起,光大银行核心系统及总行前置系统交易出现拥堵,造成全国网点交易缓慢,柜面业务、网上银行、电话银行、电子支付等业务均受到影响。该事故引起业务交易拥堵,系统完全中断时间达12分34秒,对外正常服务受到影响时间约5小时左右。事后查证,该事故造成核心业务系统未成功记账及重复记账共计5万多笔。

 银监会评估光大网银

 光大银行信息科技系统接连出现故障,引起了银监会的高度关注。

 前不久,银监会委托国家信息安全专业测评机构对光大银行网上银行和网站系统进行测试,发现了该网站存在内部信息泄露风险、钓鱼网站攻击风险以及信息安全防护措施不严密等问题。

 银监会认定,光大银行网站存在内部敏感信息泄露风险,可能为外部攻击者利用以了解网站机制、内部网络结构,甚至获取管理权限,进一步攻击网站。例如:网站主页和网上银行等页面没对网页出错信息进行有效保护,出错信息包含内部地址及网站配置信息,信用卡中心页面网站和基金咨询页面网站源代码包含内部地址信息,外部攻击者可进一步了解当前网站所属网络的结构情况、收集有关应用程序的敏感信息。

 银监会同时认定光大银行信息安全防护措施不严密。该行网站养老金管理中心页面登录请求信息在发送至服务器的过程中使用明文传输,易造成用户登录信息被截获。

 银监会的检测还发现,光大网银有被钓鱼网站攻击的风险。光大银行养老金管理中心页面和基金咨询页面存在钓鱼漏洞风险,由于网站应用程序未对用户的输入参数进行有效检验,恶意攻击者可能诱骗用户访问含有恶意脚本代码的链接地址,窃取用户敏感信息。

 银监会根据这个评估结果,要求光大银行进一步深入分析上述各类风险,认真研究其深层次的技术根源和管理漏洞,针对有关问题制定切实可行的解决方案和整改计划,并尽快实施,及时堵塞漏洞,化解上述各类风险。