據消息人士透露，多家銀行的銀行自助終端機存在嚴重設計缺陷。

入侵過程

幾乎所有的銀行營業廳里都有方便客戶查詢回單的自助終端機。國內知名安全企業江南天安獵戶實驗室發現，在多家銀行使用的某品牌終端機的鍵盤上進行簡單操作，即可調出系統登錄界面，輸入特定的數字之后即可進入終端系統。之后通過回單終端機上提示的服務器地址，訪問客戶回單自助管理系統。然后利用弱口令最終進入系統，即可設立管理員，定向查詢數據庫，獲取敏感信息。

經實地測試，發現多家銀行使用的這類終端系統存在相同隱患。導致任何人都可在沒有任何授權的情況下通過簡單的操作對終端系統進行查詢，獲取用戶銀行賬戶及用戶詳細交易數據。并可進行有針對性的商業刺探，信息情報獲取等，威脅企業敏感信息，損害客戶利益。同時也間接對銀行內網產生影響。

據悉，該漏洞已經以內部發文的形式傳達到全國各大銀行及各金融監管機構，銀監會、證監會、保監會，并報送到網信辦、國務院電子政務辦公廳、工信部、公安部和國家網絡與信息安全通報中心。

點評

金融機構的安全因直接涉及到客戶的經濟利益，始終都是安全的重中之重。此次事件不僅反映了某些廠商的安全意識淡漠，還一定程度上反映出銀行IT管理部門對業務安全的忽視。雖然用戶回單管理系統并沒有直接涉及到財產轉移損失，但客戶財產信息，尤其是大企業大公司的交易信息均為敏感數據，可以從中窺探商業情報，泄露重要商業內幕。

原文地址：http://www.aqniu.com/news/7201.html