|
|
|
 |
|
廣發網銀系統可能存在較大漏洞
|
|
來源:中國計算機安全 2011-09-26 11:00:46
|
|
據法制晚報報道:廣發網銀系統在一次升級后,在北京、上海、廣東等地相繼有12名持卡人遭遇了類似的網銀失竊。都是犯罪分子在網上修改他們接收“動態驗證碼”的綁定手機號后冒名盜刷。資深黑客表示,這一系列案件說明,廣發網銀系統可能存在較大漏洞。 記者23日獲悉,部分被盜刷持卡人在被要求簽訂“對外保密”協議后,廣發銀行已為他們“先行墊付”了被盜刷金額。廣發工作人員表示,此舉并不意味著銀行存在過錯。 一覺醒來信用卡被盜刷 葉先生告訴記者,他習慣睡覺前把手機關了。7月4日早上,葉先生一覺醒來打開手機,5條來自廣發銀行客服95508的短信就讓他驚訝不已。第一條短信顯示他 的信用卡消費了2000元。第二條是“尾號4497的信用卡余額不足,交易失敗”。后面的三條短信內容相同,“尾號是1194的信用卡卡片有效期輸入錯誤,交易失敗”。 “短信都是夜里一兩點鐘發的,我睡得正香,信用卡肯定是被盜刷了。”葉先生說。葉先生介紹,5月20日廣發銀行系統升級后,網銀支付不再使用密碼,取而代之的是手機動態驗證碼。客戶每次消費100元以上,綁定的手機號碼就會收到動態驗證碼,用以在網上確認。 葉先生說:“讓人奇怪的是,盜刷是通過網銀進行的,但我的手機并沒收到動態驗證碼。我向銀行客服咨詢后,對方答復,驗證短信發到一個138開頭的手機號碼上了。” 多個省市12人遭類似盜刷 在與廣發銀行交涉過程中,葉先生發現一個廣發卡被盜刷者組成的QQ群。群里還有11人有著和他完全一樣的遭遇,大家都是在廣發網銀系統升級不久,重新填寫個人信息后被盜刷的。他們來自北京、上海、廣東、浙江等多個省市,初步統計被盜刷總金額有5萬余元。 經過溝通,大家發現,他們的卡都是在上海環迅電子商務有限公司這個第三方支付平臺上被盜刷的,被盜資金都被轉入滕馳策劃公司。12人中,除葉先生的手機動態驗證碼被修改為138開頭的手機號外,其余人的號碼全部被修改為159開頭的特定號碼,且都為北京號碼。 通過上海環迅公司,記者拿到一份騰馳策劃公司的聲明,稱其也是受害者,盜刷者是他們的一名會員,目前已無法與其聯系,其賬戶也被凍結。 響應升級完善資料后失竊 葉先生告訴記者,今年5月上旬,廣發銀行通過短信、公告等形式告知持卡人,該行網銀將于5月20日23時至次日12時暫停服務,全面升級,要求之前填寫資料不全的持卡人完善“個人資料”,包括卡片有效期和卡片背后的三位驗證碼等內容。 7月2日,葉先生登錄網銀,將尾號4497的信用卡的個人資料進行了“完善”,對尾號為1194的卡片沒做處理。“‘完善’后的卡片兩天后就被盜刷了。”葉先生說。而其他受害者也都有和葉先生類似的經歷。 存在漏洞個人信息易泄露 精通網站系統的資深黑客小魚(化名)表示,從被盜刷持卡人反映的情況來看,他們的個人資料被黑客用木馬程序或釣魚網站竊取的可能性很大。但他同時指出,這也說明廣發網銀的系統存在漏洞。 小魚說,“其實任何網銀系統都有漏洞,因為系統是人設計的,就必然有各種缺陷。所以銀行也會不斷地進行系統升級,提高系統的安全性能。但是多人在同一時段因為同樣的原因遭遇盜刷,說明這家銀行網銀的漏洞可能比較明顯、嚴重。而這一點也被黑客發現并鉆了空子。” |
