电脑装配网

全球多家金融机构软件供应商源代码泄露

 人阅读 | 作者yiyi | 时间:2022-08-17 23:56

近日,为多家跨国银行及证券交易所提供软件的开发商CMA的软件源代码被公开发布在网上。

CMA客户包括摩洛哥、毛里求斯、阿曼、塞尔维亚、利比亚以及柬埔寨等国的中央银行。该公司同时也在为甲骨文、赛门铁克以及花旗银行等知名厂商提供服务。

调查发现,此次数据泄露事件的幕后主使曾今年7月公开过数十家企业源代码,其中包括微软、Adobe、联想、AMD、高通、摩托罗拉、联发科、GE Appliances、任天堂、Roblox以及迪士尼等等。

威胁情报分析师Bank_Security发布推文称:“国家中央银行使用的软件已被发布至公开的资料库。据称,通过该软件执行的日均交易额超过1000亿美元。”

这些泄露的源代码,可对金融机构造成持续性威胁。不法者可针对这些源代码进行分析找到其漏洞,而后对系统安全进行渗透,放置木马程序获取信息及访问权,或直接发动勒索攻击。

银行木马:卡巴斯基实验室曾于今年7月发现的一种新的Android银行木马,能够从112个金融应用程序中窃取数据。

黑客倒卖访问权:黑市上有很多银行访问权限的倒卖活动,有的价格还很优惠,卖家号称可以提供对全球各家银行的远程访问。通常,攻击者利用一个或多个漏洞,然后将其转售给具有财务动机的黑客,包括有针对性的勒索软件运营商。

勒索软件攻击:各种针对性的勒索软件组织已经攻击了全世界的银行,例如哥斯达黎加、智利和塞舌尔。因为支付赎金的受害者不会出现在勒索软件组织的列表中,所以没有人能确定还有多少银行遭到了有针对性的勒索软件攻击。

此次事件无疑给全球金融行业敲响了警钟。告警企业在日常运行中,任何一个环节出现问题,都可能带来不可预计的损失。

企业单位尤其是特殊敏感行业,不仅需要严谨的制度来约束个人行为作为管理手段,还应该通过“制度+技术”的管理策略来提升内部数据的安全性。

从安全技术上来说,进行数据管理,如数据加密、数据防泄漏、数据溯源、访问权限管控等。同时,进行分权管理,划分数据等级后加密存储,员工等级不同访问权限不同,一般员工不能接触到核心数据,尽可能降低核心数据泄露的风险。

商务密邮:“制度+技术”保护措施,可以防止内部人员有意、无意的信息泄密,还能够有效的防止黑客、木马等程序入侵后窃取文件导致的信息泄密。


文章标签:

本文链接:『转载请注明出处』