2011信息安全灾难评估之重大经济损失篇

信息安全灾难评估之重大经济损失篇

●5万中银用户遭遇网银升级骗局1.事件分级影响范围：★★★★☆影响程度：★★★☆☆持续时间：★★☆☆☆2.事件回顾1.事件分级影响范围：★★★☆☆影响程度：★★★☆☆持续时间：★☆☆☆☆2.事件回顾2011年8月以来，国内最大第三方支付公司“支付宝”用户莫名其妙发生“被捐款”事件，再次触发了互联网用户账户密码个人数据安全性话题。记者从第三方支付公司了解到，国内如支付宝等支付账户使用邮箱注册，但其属性却等于银行账户，可以进行涉及资金的操作。而且，部分用户对待这些支付账户，并没有提升到银行账户高度，而是与一般SNS、微博邮箱等同看待。这样会留下较大数据安全隐患。据网安公司研究表明，黑客团伙会攻击并盗取一些数据信息安全防范较弱的小型网站用户资料，如SNS网站，然后使用账号与密码逐一尝试登录网络支付平台，如用户采用了相同的账号设置，账户资金容易损失。出于省事的考虑，不少用户除了使用同样的账户名外，还将微博、邮箱和网络支付账号都使用相同的密码，为账户资料甚至是账户资金埋下极大安全隐患。对此，支付宝已向用户发出警示，由于涉及资金安全，请用户务必为支付宝账户设置单独的高强度密码，并使用数字证书、支付盾或宝令等安全产品。网上购物过程中，不要轻易点击不明链接或安装不明文件。3.分析启示中国电子商务协会政策法律委员会副主任阿拉木斯认为，“在网民反映的‘被捐款’事件中，应该说，支付宝已经尽到了责任义务。”阿拉木斯说，根据国内有关第三方支付的法规，数字证书等安全产品并没有强制使用，如果密码简单、点击木马或钓鱼网站，账号被盗用的概率很高，“账户数据安全关系到用户自身利益，如果大家一方面认为网上支付不安全，但又不用现有的安全产品，可能埋下隐患，毕竟越方便有可能就越不安全。”但一些网民认为，即便已经提供了数据安全服务，相对于网购和支付平台，普通用户不论在技术还是信息获取上，都处于弱势，平台可以提高数据安全防备，并增强对安全使用和付款情况的实时提醒。“就整个第三方支付平台而言，不论是技术支撑还是服务提醒，都还有提升空间。另外，国内相关管理规范仍然过于笼统，也可能产生问题。”浙江大学电子服务研究中心主任陈德人说，快速发展的第三方支付市场需要多方努力完善，避免触发数据安全隐患。山丽网安专家提醒：使用网上银行的时候，客户应该养成很好的安全使用习惯，有一定的操作水平，能够及时下载系统的补丁，使用正版杀毒软件等等。同时也要保持着一种意识，尽量使自己的银行卡密码、网上银行的密码与其他网站的密码等设置成不同的密码，不要使其他密码攻破以后带来网上银行密码的泄露。●团购价格数据遭到篡改1.事件分级影响范围：★★★☆☆影响程度：★★★★☆持续时间：★☆☆☆☆2.事件回顾9月1日上午，网友小雨(化名)发现，她在淘宝上开的潮鞋小店里，竟然一下来了几十笔团购生意，不由一阵狂喜。可一看价格就傻了眼：页面显示，这些交易的成交单价为16元，刨去每单运费15元，相当于每双鞋只卖1块钱。而这些鞋子原价108元，即便为团购开设，促销价也是85元。淘宝网多个卖家昨日称，他们在淘宝网店开设的团购中，商品价格被改为1元，这些“被促销”的商品被大量抢购。据初步估计，卖家损失从数百元到数百万元不等。对此，淘宝网回应称，可能是第三方软件出错或被黑客攻击导致出错，目前正在紧急核查和制定解决方案。截至发稿时，淘宝尚未公布进一步的信息。对此，淘宝网回应称，上述交易是由淘宝的第三方合作伙伴“团购宝”提供服务。“团购宝”为淘宝的团购提供一种“类似团购导航的插件”。上述价格出错，“有可能是第三方软件出错或者被黑客攻击”。该负责人表示，目前正在确定权责；关于对消费者的赔偿问题，淘宝正在统计商家售出的商品数量和涉及的金额总额。目前已经暂停了‘团购宝’的所有应用，正在紧急核查和制定方案。3.分析启示《淘宝网服务协议》，其中一条内容是：第三方站点和软件的质量和品质由第三方独立负责。如因第三方站点或软件存在漏洞、瑕疵、故障、病毒等原因造成您相关权益受损的，您可以请淘宝协调，但您不应就登录和使用第三方站点或软件的后果要求淘宝承担任何责任。法律界人士认为，淘宝不能以第三方平台出问题，而对商家和消费者进行抗辩，但淘宝可以向第三方合作伙伴追索赔偿。各方说法卖家：损失惨重，暂不发货，看淘宝怎么说吧。买家：有便宜谁不占？希望卖家尽快发货。淘宝：价格出错，有可能是第三方软件出错或者被黑客攻击。专家：消费者提交订单且付了款，相当于买卖合同就成立了近日因数据安全而产生的经济纠纷日益增多，人们对信息安全意识的注重使得数据防篡改，防泄漏泄密等词渐渐走入人们视线。山丽网安专家提醒：商家与第三方平台合作时应该保持一种对自己利益保护的意识，在面对黑客的攻击时，应该及时实施安全防护工作。个人买家在使用第三方平台进行交易的时候，应该时刻保持清醒的头脑，面对各种不正常网站现象，不应盲目跟从。而作为中间人的第三方平台应该时刻将自身的信息安全工作做到位，未雨绸缪。既维护自身利益又维护客户的利益，皆大欢喜。●伦敦又现魔鬼交易员瑞银损失20亿美元1.事件分级影响范围：★★★☆☆影响程度：★★★★★持续时间：★★☆☆☆2.事件回顾2011年9月15日，瑞士银行爆出惊人数据安全事故消息，该行一名自营业务操作员因涉嫌违规交易，导致该行金融衍生品自营业务亏损20亿美元。瑞士银行集团(UBS)因交易员违规操作致损23亿美元事发仅9天后，瑞银董事会即宣布首席执行官(CEO)奥斯瓦尔德•格吕贝尔已引咎辞职，给危机频发的瑞银带来新的打击。有分析认为，瑞银违规交易事件不仅使自身面临一场史无前例的信任危机，更使欧洲银行业的融资困境雪上加霜。3.分析启示侥幸心理也是此类“奇迹”频发的重要因素。金融界成功的标尺并非帮助银行、客户避免了多少损失和风险，而是利润和利润率，“以小搏大”、可以快速成功的衍生交易，自然成为急欲上进的中低层操作员最青睐的品种。在这些“奇迹”中，不少操作者本人并未从交易中直接获利，其唯一动机是通过捷径博取业绩，在银行出人头地，而他们的专业知识又足以让其熟知规则和漏洞，可以较长时间地躲避监督检查。不仅如此，在激烈的竞争和低迷的世道压力下，银行本身明知衍生交易风险大、监管难，却仍然乐此不疲，甘愿冒险。山丽网安专家提醒：银行内部已经出现漏洞，作为用户的广大群众应该及时确认异常状态。做好交易记录，定期打印网上银行业务对账单，做到尽早发现问题，尽早解决问题。●郑州商品交易所因系统故障导致周三交易暂停1.事件分级影响范围：★★★★☆影响程度：★★★★★持续时间：★☆☆☆☆2.事件回顾2011年12月7日周三上午，郑州商品交易所期(郑商所)交易行情两度中断，造成客户无法交易，随后郑商所发布公告，称因技术型原因导致交易暂停。午后郑商所再度发表公告称技术性故障已经排除，从13:30起恢复正常交易。据悉本次郑商所系统瘫痪为近年来罕见事故，因为根据相关业务规则，当主系统出现故障时，应尽快切换到冗余系统，确保交易正常进行。不过和早盘高开的形态不同，棉花、白糖下午恢复交易后快速下跌并翻绿；PTA、甲醇期货维持震荡；强麦、早稻则震荡走高，并且成交量较昨日明显放大。然中午收盘后不久，郑商所即发出了通知：经分析排查故障，现交易系统已修复，从2011年12月7日13时30分起恢复交易，然而对于故障的原因依然只字未提。这也致使各家期货公司纷纷向客户发出建议：“立刻平仓郑商所的交易品种，防止事故下午再次发生，应回避郑州的品种。”一些期货品种在下午开盘后便开始向下跳水：白糖主力1205合约在短短的十分钟内，便由每吨6423元跌至6386元/吨；郑棉主力1205合约六分钟内从每吨20625元跌至20580元/吨。3.分析启示在所有金融交易中，期货交易对于实时