2011信息安全災難評估之重大經濟損失篇

佚名

()由網絡技術計算機技術的迅猛發展而帶來的信息化影響著我國經濟的發展。信息化給我國經濟帶來了一次發展機遇，是一場革命，是經濟發展的新平臺。由于信息化與經濟的關系越來越親密，經濟信息化的程度越來越深，由信息安全問題帶來的經濟安全問題也逐漸引起人們的高度重視。

●5萬中銀用戶遭遇網銀升級騙局

1.事件分級

影響范圍：★★★★☆

影響程度：★★★☆☆

持續時間：★★☆☆☆

2.事件回顧

2011年1月，許多人都收到了一條來自13225870398發來的短信，稱中行網銀E令已過期，要求立即登錄www.diannaoya.com/detail/1917.html">支付寶用戶莫名其妙被捐款

1.事件分級

影響范圍：★★★☆☆

影響程度：★★★☆☆

持續時間：★☆☆☆☆

2.事件回顧

2011年8月以來，國內最大第三方支付公司“支付寶”用戶莫名其妙發生“被捐款”事件，再次觸發了互聯網用戶賬戶密碼個人數據安全性話題。

記者從第三方支付公司了解到，國內如支付寶等支付賬戶使用郵箱注冊，但其屬性卻等于銀行賬戶，可以進行涉及資金的操作。而且，部分用戶對待這些支付賬戶，并沒有提升到銀行賬戶高度，而是與一般SNS、微博郵箱等同看待。

這樣會留下較大數據安全隱患。據網安公司研究表明，黑客團伙會攻擊并盜取一些數據信息安全防范較弱的小型網站用戶資料，如SNS網站，然后使用賬號與密碼逐一嘗試登錄網絡支付平臺，如用戶采用了相同的賬號設置，賬戶資金容易損失。出于省事的考慮，不少用戶除了使用同樣的賬戶名外，還將微博、郵箱和網絡支付賬號都使用相同的密碼，為賬戶資料甚至是賬戶資金埋下極大安全隱患。

對此，支付寶已向用戶發出警示，由于涉及資金安全，請用戶務必為支付寶賬戶設置單獨的高強度密碼，并使用數字證書、支付盾或寶令等安全產品。網上購物過程中，不要輕易點擊不明鏈接或安裝不明文件。

3.分析啟示

中國電子商務協會政策法律委員會副主任阿拉木斯認為，“在網民反映的‘被捐款’事件中，應該說，支付寶已經盡到了責任義務。”阿拉木斯說，根據國內有關第三方支付的法規，數字證書等安全產品并沒有強制使用，如果密碼簡單、點擊木馬或釣魚網站，賬號被盜用的概率很高，“賬戶數據安全關系到用戶自身利益，如果大家一方面認為網上支付不安全，但又不用現有的安全產品，可能埋下隱患，畢竟越方便有可能就越不安全。”

但一些網民認為，即便已經提供了數據安全服務，相對于網購和支付平臺，普通用戶不論在技術還是信息獲取上，都處于弱勢，平臺可以提高數據安全防備，并增強對安全使用和付款情況的實時提醒。

“就整個第三方支付平臺而言，不論是技術支撐還是服務提醒，都還有提升空間。另外，國內相關管理規范仍然過于籠統，也可能產生問題。”浙江大學電子服務研究中心主任陳德人說，快速發展的第三方支付市場需要多方努力完善，避免觸發數據安全隱患。

山麗網安專家提醒：使用網上銀行的時候，客戶應該養成很好的安全使用習慣，有一定的操作水平，能夠及時下載系統的補丁，使用正版殺毒軟件等等。同時也要保持著一種意識，盡量使自己的銀行卡密碼、網上銀行的密碼與其他網站的密碼等設置成不同的密碼，不要使其他密碼攻破以后帶來網上銀行密碼的泄露。

●團購價格數據遭到篡改

1.事件分級

影響范圍：★★★☆☆

影響程度：★★★★☆

持續時間：★☆☆☆☆

2.事件回顧

9月1日上午，網友小雨(化名)發現，她在淘寶上開的潮鞋小店里，竟然一下來了幾十筆團購生意，不由一陣狂喜。可一看價格就傻了眼：頁面顯示，這些交易的成交單價為16元，刨去每單運費15元，相當于每雙鞋只賣1塊錢。而這些鞋子原價108元，即便為團購開設，促銷價也是85元。

淘寶網多個賣家昨日稱，他們在淘寶網店開設的團購中，商品價格被改為1元，這些“被促銷”的商品被大量搶購。據初步估計，賣家損失從數百元到數百萬元不等。

對此，淘寶網回應稱，可能是第三方軟件出錯或被黑客攻擊導致出錯，目前正在緊急核查和制定解決方案。截至發稿時，淘寶尚未公布進一步的信息。

對此，淘寶網回應稱，上述交易是由淘寶的第三方合作伙伴“團購寶”提供服務。“團購寶”為淘寶的團購提供一種“類似團購導航的插件”。上述價格出錯，“有可能是第三方軟件出錯或者被黑客攻擊”。該負責人表示，目前正在確定權責；關于對消費者的賠償問題，淘寶正在統計商家售出的商品數量和涉及的金額總額。目前已經暫停了‘團購寶’的所有應用，正在緊急核查和制定方案。

3.分析啟示

《淘寶網服務協議》，其中一條內容是：第三方站點和軟件的質量和品質由第三方獨立負責。如因第三方站點或軟件存在漏洞、瑕疵、故障、病毒等原因造成您相關權益受損的，您可以請淘寶協調，但您不應就登錄和使用第三方站點或軟件的后果要求淘寶承擔任何責任。

法律界人士認為，淘寶不能以第三方平臺出問題，而對商家和消費者進行抗辯，但淘寶可以向第三方合作伙伴追索賠償。各方說法賣家：損失慘重，暫不發貨，看淘寶怎么說吧。

買家：有便宜誰不占？希望賣家盡快發貨。

淘寶：價格出錯，有可能是第三方軟件出錯或者被黑客攻擊。

專家：消費者提交訂單且付了款，相當于買賣合同就成立了

近日因數據安全而產生的經濟糾紛日益增多，人們對信息安全意識的注重使得數據防篡改，防泄漏泄密等詞漸漸走入人們視線。

山麗網安專家提醒：商家與第三方平臺合作時應該保持一種對自己利益保護的意識，在面對黑客的攻擊時，應該及時實施安全防護工作。個人買家在使用第三方平臺進行交易的時候，應該時刻保持清醒的頭腦，面對各種不正常網站現象，不應盲目跟從。而作為中間人的第三方平臺應該時刻將自身的信息安全工作做到位，未雨綢繆。既維護自身利益又維護客戶的利益，皆大歡喜。

●倫敦又現魔鬼交易員瑞銀損失20億美元

1.事件分級

影響范圍：★★★☆☆

影響程度：★★★★★

持續時間：★★☆☆☆

2.事件回顧

2011年9月15日，瑞士銀行爆出驚人數據安全事故消息，該行一名自營業務操作員因涉嫌違規交易，導致該行金融衍生品自營業務虧損20億美元。

瑞士銀行集團(UBS)因交易員違規操作致損23億美元事發僅9天后，瑞銀董事會即宣布首席執行官(CEO)奧斯瓦爾德?格呂貝爾已引咎辭職，給危機頻發的瑞銀帶來新的打擊。有分析認為，瑞銀違規交易事件不僅使自身面臨一場史無前例的信任危機，更使歐洲銀行業的融資困境雪上加霜。

3.分析啟示

僥幸心理也是此類“奇跡”頻發的重要因素。金融界成功的標尺并非幫助銀行、客戶避免了多少損失和風險，而是利潤和利潤率，“以小搏大”、可以快速成功的衍生交易，自然成為急欲上進的中低層操作員最青睞的品種。在這些“奇跡”中，不少操作者本人并未從交易中直接獲利，其唯一動機是通過捷徑博取業績，在銀行出人頭地，而他們的專業知識又足以讓其熟知規則和漏洞，可以較長時間地躲避監督檢查。不僅如此，在激烈的競爭和低迷的世道壓力下，銀行本身明知衍生交易風險大、監管難，卻仍然樂此不疲，甘愿冒險。

山麗網安專家提醒：銀行內部已經出現漏洞，作為用戶的廣大群眾應該及時確認異常狀態。做好交易記錄，定期打印網上銀行業務對賬單，做到盡早發現問題，盡早解決問題。

●鄭州商品交易所因系統故障導致周三交易暫停

1.事件分級

影響范圍：★★★★☆

影響程度：★★★★★

持續時間：★☆☆☆☆

2.事件回顧

2011年12月7日周三上午，鄭州商品交易所期(鄭商所)交易行情兩度中斷，造成客戶無法交易，隨后鄭商所發布公告，稱因技術型原因導致交易暫停。午后鄭商所再度發表公告稱技術性故障已經排除，從13:30起恢復正常交易。

據悉本次鄭商所系統癱瘓為近年來罕見事故，因為根據相關業務規則，當主系統出現故障時，應盡快切換到冗余系統，確保交易正常進行。

不過和早盤高開的形態不同，棉花、白糖下午恢復交易后快速下跌并翻綠；PTA、甲醇期貨維持震蕩；強麥、早稻則震蕩走高，并且成交量較昨日明顯放大。

然中午收盤后不久，鄭商所即發出了通知：經分析排查故障，現交易系統已修復，從2011年12月7日13時30分起恢復交易，然而對于故障的原因依然只字未提。

這也致使各家期貨公司紛紛向客戶發出建議：“立刻平倉鄭商所的交易品種，防止事故下午再次發生，應回避鄭州的品種。”