2011信息安全災(zāi)難評估之重大經(jīng)濟損失篇

信息安全災(zāi)難評估之重大經(jīng)濟損失篇

●5萬中銀用戶遭遇網(wǎng)銀升級騙局1.事件分級影響范圍：★★★★☆影響程度：★★★☆☆持續(xù)時間：★★☆☆☆2.事件回顧1.事件分級影響范圍：★★★☆☆影響程度：★★★☆☆持續(xù)時間：★☆☆☆☆2.事件回顧2011年8月以來，國內(nèi)最大第三方支付公司“支付寶”用戶莫名其妙發(fā)生“被捐款”事件，再次觸發(fā)了互聯(lián)網(wǎng)用戶賬戶密碼個人數(shù)據(jù)安全性話題。記者從第三方支付公司了解到，國內(nèi)如支付寶等支付賬戶使用郵箱注冊，但其屬性卻等于銀行賬戶，可以進(jìn)行涉及資金的操作。而且，部分用戶對待這些支付賬戶，并沒有提升到銀行賬戶高度，而是與一般SNS、微博郵箱等同看待。這樣會留下較大數(shù)據(jù)安全隱患。據(jù)網(wǎng)安公司研究表明，黑客團(tuán)伙會攻擊并盜取一些數(shù)據(jù)信息安全防范較弱的小型網(wǎng)站用戶資料，如SNS網(wǎng)站，然后使用賬號與密碼逐一嘗試登錄網(wǎng)絡(luò)支付平臺，如用戶采用了相同的賬號設(shè)置，賬戶資金容易損失。出于省事的考慮，不少用戶除了使用同樣的賬戶名外，還將微博、郵箱和網(wǎng)絡(luò)支付賬號都使用相同的密碼，為賬戶資料甚至是賬戶資金埋下極大安全隱患。對此，支付寶已向用戶發(fā)出警示，由于涉及資金安全，請用戶務(wù)必為支付寶賬戶設(shè)置單獨的高強度密碼，并使用數(shù)字證書、支付盾或?qū)毩畹劝踩a(chǎn)品。網(wǎng)上購物過程中，不要輕易點擊不明鏈接或安裝不明文件。3.分析啟示中國電子商務(wù)協(xié)會政策法律委員會副主任阿拉木斯認(rèn)為，“在網(wǎng)民反映的‘被捐款’事件中，應(yīng)該說，支付寶已經(jīng)盡到了責(zé)任義務(wù)。”阿拉木斯說，根據(jù)國內(nèi)有關(guān)第三方支付的法規(guī)，數(shù)字證書等安全產(chǎn)品并沒有強制使用，如果密碼簡單、點擊木馬或釣魚網(wǎng)站，賬號被盜用的概率很高，“賬戶數(shù)據(jù)安全關(guān)系到用戶自身利益，如果大家一方面認(rèn)為網(wǎng)上支付不安全，但又不用現(xiàn)有的安全產(chǎn)品，可能埋下隱患，畢竟越方便有可能就越不安全?！钡恍┚W(wǎng)民認(rèn)為，即便已經(jīng)提供了數(shù)據(jù)安全服務(wù)，相對于網(wǎng)購和支付平臺，普通用戶不論在技術(shù)還是信息獲取上，都處于弱勢，平臺可以提高數(shù)據(jù)安全防備，并增強對安全使用和付款情況的實時提醒?！熬驼麄€第三方支付平臺而言，不論是技術(shù)支撐還是服務(wù)提醒，都還有提升空間。另外，國內(nèi)相關(guān)管理規(guī)范仍然過于籠統(tǒng)，也可能產(chǎn)生問題?！闭憬髮W(xué)電子服務(wù)研究中心主任陳德人說，快速發(fā)展的第三方支付市場需要多方努力完善，避免觸發(fā)數(shù)據(jù)安全隱患。山麗網(wǎng)安專家提醒：使用網(wǎng)上銀行的時候，客戶應(yīng)該養(yǎng)成很好的安全使用習(xí)慣，有一定的操作水平，能夠及時下載系統(tǒng)的補丁，使用正版殺毒軟件等等。同時也要保持著一種意識，盡量使自己的銀行卡密碼、網(wǎng)上銀行的密碼與其他網(wǎng)站的密碼等設(shè)置成不同的密碼，不要使其他密碼攻破以后帶來網(wǎng)上銀行密碼的泄露?！駡F(tuán)購價格數(shù)據(jù)遭到篡改1.事件分級影響范圍：★★★☆☆影響程度：★★★★☆持續(xù)時間：★☆☆☆☆2.事件回顧9月1日上午，網(wǎng)友小雨(化名)發(fā)現(xiàn)，她在淘寶上開的潮鞋小店里，竟然一下來了幾十筆團(tuán)購生意，不由一陣狂喜?？梢豢磧r格就傻了眼：頁面顯示，這些交易的成交單價為16元，刨去每單運費15元，相當(dāng)于每雙鞋只賣1塊錢。而這些鞋子原價108元，即便為團(tuán)購開設(shè)，促銷價也是85元。淘寶網(wǎng)多個賣家昨日稱，他們在淘寶網(wǎng)店開設(shè)的團(tuán)購中，商品價格被改為1元，這些“被促銷”的商品被大量搶購。據(jù)初步估計，賣家損失從數(shù)百元到數(shù)百萬元不等。對此，淘寶網(wǎng)回應(yīng)稱，可能是第三方軟件出錯或被黑客攻擊導(dǎo)致出錯，目前正在緊急核查和制定解決方案。截至發(fā)稿時，淘寶尚未公布進(jìn)一步的信息。對此，淘寶網(wǎng)回應(yīng)稱，上述交易是由淘寶的第三方合作伙伴“團(tuán)購寶”提供服務(wù)?！皥F(tuán)購寶”為淘寶的團(tuán)購提供一種“類似團(tuán)購導(dǎo)航的插件”。上述價格出錯，“有可能是第三方軟件出錯或者被黑客攻擊”。該負(fù)責(zé)人表示，目前正在確定權(quán)責(zé)；關(guān)于對消費者的賠償問題，淘寶正在統(tǒng)計商家售出的商品數(shù)量和涉及的金額總額。目前已經(jīng)暫停了‘團(tuán)購寶’的所有應(yīng)用，正在緊急核查和制定方案。3.分析啟示《淘寶網(wǎng)服務(wù)協(xié)議》，其中一條內(nèi)容是：第三方站點和軟件的質(zhì)量和品質(zhì)由第三方獨立負(fù)責(zé)。如因第三方站點或軟件存在漏洞、瑕疵、故障、病毒等原因造成您相關(guān)權(quán)益受損的，您可以請?zhí)詫殔f(xié)調(diào)，但您不應(yīng)就登錄和使用第三方站點或軟件的后果要求淘寶承擔(dān)任何責(zé)任。法律界人士認(rèn)為，淘寶不能以第三方平臺出問題，而對商家和消費者進(jìn)行抗辯，但淘寶可以向第三方合作伙伴追索賠償。各方說法賣家：損失慘重，暫不發(fā)貨，看淘寶怎么說吧。買家：有便宜誰不占？希望賣家盡快發(fā)貨。淘寶：價格出錯，有可能是第三方軟件出錯或者被黑客攻擊。專家：消費者提交訂單且付了款，相當(dāng)于買賣合同就成立了近日因數(shù)據(jù)安全而產(chǎn)生的經(jīng)濟糾紛日益增多，人們對信息安全意識的注重使得數(shù)據(jù)防篡改，防泄漏泄密等詞漸漸走入人們視線。山麗網(wǎng)安專家提醒：商家與第三方平臺合作時應(yīng)該保持一種對自己利益保護(hù)的意識，在面對黑客的攻擊時，應(yīng)該及時實施安全防護(hù)工作。個人買家在使用第三方平臺進(jìn)行交易的時候，應(yīng)該時刻保持清醒的頭腦，面對各種不正常網(wǎng)站現(xiàn)象，不應(yīng)盲目跟從。而作為中間人的第三方平臺應(yīng)該時刻將自身的信息安全工作做到位，未雨綢繆。既維護(hù)自身利益又維護(hù)客戶的利益，皆大歡喜?！駛惗赜脂F(xiàn)魔鬼交易員瑞銀損失20億美元1.事件分級影響范圍：★★★☆☆影響程度：★★★★★持續(xù)時間：★★☆☆☆2.事件回顧2011年9月15日，瑞士銀行爆出驚人數(shù)據(jù)安全事故消息，該行一名自營業(yè)務(wù)操作員因涉嫌違規(guī)交易，導(dǎo)致該行金融衍生品自營業(yè)務(wù)虧損20億美元。瑞士銀行集團(tuán)(UBS)因交易員違規(guī)操作致?lián)p23億美元事發(fā)僅9天后，瑞銀董事會即宣布首席執(zhí)行官(CEO)奧斯瓦爾德?格呂貝爾已引咎辭職，給危機頻發(fā)的瑞銀帶來新的打擊。有分析認(rèn)為，瑞銀違規(guī)交易事件不僅使自身面臨一場史無前例的信任危機，更使歐洲銀行業(yè)的融資困境雪上加霜。3.分析啟示僥幸心理也是此類“奇跡”頻發(fā)的重要因素。金融界成功的標(biāo)尺并非幫助銀行、客戶避免了多少損失和風(fēng)險，而是利潤和利潤率，“以小搏大”、可以快速成功的衍生交易，自然成為急欲上進(jìn)的中低層操作員最青睞的品種。在這些“奇跡”中，不少操作者本人并未從交易中直接獲利，其唯一動機是通過捷徑博取業(yè)績，在銀行出人頭地，而他們的專業(yè)知識又足以讓其熟知規(guī)則和漏洞，可以較長時間地躲避監(jiān)督檢查。不僅如此，在激烈的競爭和低迷的世道壓力下，銀行本身明知衍生交易風(fēng)險大、監(jiān)管難，卻仍然樂此不疲，甘愿冒險。山麗網(wǎng)安專家提醒：銀行內(nèi)部已經(jīng)出現(xiàn)漏洞，作為用戶的廣大群眾應(yīng)該及時確認(rèn)異常狀態(tài)。做好交易記錄，定期打印網(wǎng)上銀行業(yè)務(wù)對賬單，做到盡早發(fā)現(xiàn)問題，盡早解決問題?！襦嵵萆唐方灰姿蛳到y(tǒng)故障導(dǎo)致周三交易暫停1.事件分級影響范圍：★★★★☆影響程度：★★★★★持續(xù)時間：★☆☆☆☆2.事件回顧2011年12月7日周三上午，鄭州商品交易所期(鄭商所)交易行情兩度中斷，造成客戶無法交易，隨后鄭商所發(fā)布公告，稱因技術(shù)型原因?qū)е陆灰讜和！Ｎ绾筻嵣趟俣劝l(fā)表公告稱技術(shù)性故障已經(jīng)排除，從13:30起恢復(fù)正常交易。據(jù)悉本次鄭商所系統(tǒng)癱瘓為近年來罕見事故，因為根據(jù)相關(guān)業(yè)務(wù)規(guī)則，當(dāng)主系統(tǒng)出現(xiàn)故障時，應(yīng)盡快切換到冗余系統(tǒng)，確保交易正常進(jìn)行。不過和早盤高開的形態(tài)不同，棉花、白糖下午恢復(fù)交易后快速下跌并翻綠；PTA、甲醇期貨維持震蕩；強麥、早稻則震蕩走高，并且成交量較昨日明顯放大。然中午收盤后不久，鄭商所即發(fā)出了通知：經(jīng)分析排查故障，現(xiàn)交易系統(tǒng)已修復(fù)，從2011年12月7日13時30分起恢復(fù)交易，然而對于故障的原因依然只字未提。這也致使各家期貨公司紛紛向客戶發(fā)出建議：“立刻平倉鄭商所的交易品種，防止事故下午再次發(fā)生，應(yīng)回避鄭州的品種?！币恍┢谪浧贩N在下午開盤后便開始向下跳水：白糖主力1205合約在短短的十分鐘內(nèi)，便由每噸6423元跌至6386元/噸；鄭棉主力1205合約六分鐘內(nèi)從每噸20625元跌至20580元/噸。3.分析啟示在所有金融交易中，期貨交易對于實時