• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    应用安全报告:金融机构最担心用户信息泄露

    韩希宇 来源:中国电子银行网 2017-04-07 09:55:43 金融 安全 金融安全
    韩希宇     来源:中国电子银行网     2017-04-07 09:55:43

    核心提示金融服务企业们正在寻求各种机会,希望能够利用技术来定义、差别化或支持他们的业务战略。他们将全数字化转型视为获得业务价值、颠覆市场和领先竞争对手的一种方式。

      中国电子银行网讯 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞253个,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。

      FreeBuf发布2017金融行业应用安全态势报告

    应用安全报告:金融机构最担心用户信息泄露

      金融服务企业们正在寻求各种机会,希望能够利用技术来定义、差别化或支持他们的业务战略。他们将全数字化转型视为获得业务价值、颠覆市场和领先竞争对手的一种方式。但是,随全数字化能力而来的还有复杂性。互联网金融本身数字化属性,以及传统金融机构数字化转型带来的是数据、系统和网络各方面的风险。>>详细

      可穿戴支付开启未来中国支付新市场 

    应用安全报告:金融机构最担心用户信息泄露

      根据2015年消费者线上支付调查报告发现,近24%的受访者认为安全性是购物时的主要考虑因素;57%受访者表示希望能提高透明度,以便了解服务供应商如何保障他们的个人数据。支付运营商在将服务结合可穿戴技术时,应清楚说明设备和支付合作伙伴如何保障个人数据,以及采用哪些硬件和后端安全措施来满足消费者对安全和透明度的诉求。>>详细

      【人民银行科技司司长 李伟】我国银行卡芯片化战略与实施

    应用安全报告:金融机构最担心用户信息泄露

      金融IC卡作为信息技术与金融服务深度融合的创新产物,以芯片为介质实现安全存储、加解密运算等功能,数据不易被复制、密码不易被破解,具有磁条卡无可比拟的可靠性。因此,推广应用金融IC卡能够从根本上提升银行卡风险防范水平,有效保护个人信息与资金安全。>>详细

      Equifax:英国消费者对生物识别态度调查

    应用安全报告:金融机构最担心用户信息泄露

      根据征信公司Equifax调研,英国有超过一半消费者(56%)愿意使用身份识别的认证方式来登录自己钱包账户。其中结果显示,在这些消费者当中有33%选择指纹识别、31%消费者则喜欢虹膜识别,而选择人脸识别以及声音识别的只有7%和3%。>>详细

      Vault 7泄露文档后续:思科针对某个影响到300款交换机的漏洞发出预警

    应用安全报告:金融机构最担心用户信息泄露

      最近维基解密刚刚宣布计划与某些IT企业分享一些有关他们产品存在缺陷的细节,CIA Vault7数据泄露事件中就包括一些黑客工具和技术对这些漏洞的利用。阿桑奇给这些公司发了一封“有条件”的邮件,要求这些IT企业必须满足并执行这些条件才能获得这些细节信息。>>详细

      肖风:金融科技20年后将重构整个金融体系 其发展分为三大阶段

    应用安全报告:金融机构最担心用户信息泄露

      肖风认为,Fintech技术在20年之后将会重构整个金融体系。我们现在所熟悉的金融体系完全是基于工业社会的基础架构建立起来的,即金字塔、层级制、标准化、流程化。但在信息社会,新的模式如滴滴打车、共享金融、共享经济,变成了分布式、网络化的结构,呈现出 “去中心”的趋势。未来,金融科技也必将帮助金融业进行解构与重建,以适应信息社会的底层架构。>>详细

      疯狂的身份证 | 一张身份证如何攻破人脸识别技术

    应用安全报告:金融机构最担心用户信息泄露

      一套动态视频的制作时间,也就一两个小时。至于点头、摇头、眨眼、张嘴等动作,则只要提前把一个相片的四个动作全部做成视频就好了,你需要我做哪一个动作,我就播放哪一个给你看,就这么简单。这样一整套的动态认证视频,制作周期只要1-2个小时,而收费则高达500到1000元。>>详细

      安全漏洞周报

      上周漏洞基本情况

      上周信息安全漏洞威胁整体评价级别为中。

      上周共收集、整理信息安全漏洞253个,其中高危漏洞85个、中危漏洞153个、低危漏洞15个。漏洞平均分值为5.93。上周收录的漏洞中,涉及0day漏洞65个(占26%)。上周虽然有较多Apache Struts2S2-046漏洞的威胁预警及案例报告,但根据抽样测试,此前Apache Struts2S2-045漏洞涉及党政机关和重要和行业单位的案例通报后处置修复率超过85%,因此威胁态势整体评价未出现较大变化。此外,上周涉及党政机关和企事业单位的事件型漏洞总数624个,与上周(408个)环比增加53%。

      上周重要漏洞安全告警

      1、Google产品安全漏洞

      Android是美国谷歌公司和开放手持设备联盟共同开发的一套以Linux为基础的开源操作系统。Mediaserver一个提供多媒体服务的服务进程。上周,该产品被披露存在拒绝服务漏洞,攻击者可利用漏洞发起拒绝服攻击。

      CNVD收录的相关漏洞包括:Google AndroidMediaserver拒绝服务漏洞、Google AndroidAudioserver拒绝服务漏洞。上述的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      2、Microsoft产品安全漏洞

      Microsoft Windows是美国微软公司发布的一系列操作系统。Uniscribe是其中的一个能够使Windows操作系统正确演示Unicode文字的组件。GraphicsComponent是其中的视窗图形组件。上周,上述产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

      CNVD收录的相关漏洞包括:MicrosoftWindows Graphics Component远程代码执行漏洞、Microsoft WindowsUniscribe远程代码执行漏洞、MicrosoftWindows Uniscribe远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      3、IBM产品安全漏洞

      IBM QRadar SIEM是美国IBM公司的一套利用安全智能保护资产和信息远离高级威胁的解决方案。IBM WebSphereMQ一款消息传递中间件产品。IBM Tivoli Storage Manager(TSM)是一套备份和恢复管理解决方案。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制、泄露敏感信息和发起拒绝服务攻击等。

      相关漏洞包括:IBM QRadarSIEM SQL注入漏洞、IBM QRadar SIEM XML外部实体注入漏洞、IBM WebSphereMQ拒绝服务漏洞、IBM Tivoli StorageManager SQL注入漏洞、IBM Tivoli Monitoring基础服务漏洞、IBM QRadarSIEM认证绕过漏洞、IBM QRadar SIEM拒绝服务漏洞、IBM QRadarSIEM信息泄漏漏洞。其中“IBM QRadarSIEM XML外部实体注入漏洞、IBM QRadarSIEM拒绝服务漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      4、Joomla!产品安全漏洞

      Joomla!是美国Open SourceMatters团队开发的一套开源的内容管理系统(CMS)。上周,该产品被披露存在SQL注入漏洞,攻击者可利用漏洞访问或修改数据库数据。

      相关漏洞包括:Joomla!Spinner 360组件SQL漏洞、Joomla! AJAX Search for K2组件SQL注入漏洞、Joomla!Community Polls组件SQL注入漏洞、Joomla ! Community Surveys组件SQL注入漏洞、Joomla!Community Quiz组件SQL注入漏洞、Joomla! Intranet Attendance Track组件SQL注入漏洞、Joomla! JOFacebook Gallery组件SQL注入漏洞、Joomla!Guesser SQL注入漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了除“Joomla! Spinner 360组件SQL漏洞、Joomla ! Guesser SQL注入漏洞”以外漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      5、ASUSWRT RT-AC53会话窃取漏洞

      ASUSWRT是ASUS路由器固件。上周,ASUS被披露存在会话窃取漏洞,远程攻击者可通过在某些HTTP头中发送cgi_logout和asusrouter-Windows-IFTTT-1.0来窃取任何活动的管理会话。目前,厂商尚未发布该漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

      CFCA评论:

      中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结:上周,Google被披露存在拒绝服务漏洞,攻击者可利用漏洞发起拒绝服攻击。此外,Microsoft、IBM、Joomla!等多款产品被披露存在多个漏洞,攻击者利用漏洞可泄露敏感信息、访问或修改数据库数据、执行任意代码或发起拒绝服务攻击等。另外,ASUS被披露存在会话窃取漏洞,远程攻击者可通过在某些HTTP头中发送cgi_logout和asusrouter-Windows-IFTTT-1.0来窃取任何活动的管理会话。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。  

      (中国电子银行网综合《中国信用卡》、移动支付网、FreebuF、共享财经报道)

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定