食品安全测试企业Tellspec公司CTO兼前银行软件开发者杰森·科尔斯表示,他们在偶然之间发现由位于印度加尔各答的软件开发商Tata公司的员工在公共GitHub代码库当中上传大量涉及金融机构的源代码与内部文件。在归档文件当中,他们发现了开发笔记、原始源代码、Web银行代码开发规划内部报告以及与各外包合作伙伴间的往来通话记录。
这些文件所涉及的源代码与六家大型加拿大银行、两家著名美国金融机构、一家跨国银行以及一家市值达数十亿美元的金融软件厂商有关。利用这些数据,正在着手开发类似功能的竞争企业以及可能利用设计中安全漏洞窃取数百万用户个人信息的网络犯罪分子将获得显著的提示与收益。
科尔斯在上周接受采访时指出,“好消息是,其中并不包括任何银行客户数据,文件内容以辅助数据为主。不过其中仍然存在大量可被利用的素材——除了黑客群体之外,各相关企业的竞争对手还可借此把握前者的运营动态与思路,这无疑是一次巨大的常识性失误。”
这些信息足以引发严重的后续影响……出于安全考虑,我们对所泄露的部分数据的截图进行了编辑。
在泄露问题警告发布之后,各受影响企业本应快速作出反应——然而根据实际情况来看,事实并非如此。目前于加拿大多伦多工作的科尔斯表示,他亲自前往各涉事加拿大银行发出提醒,但对方却选择坐视不理。
相比之下,美国各金融机构的态度则非常积极,据称其已经立即对此采取应对措施。GitHub短时间内即将这批文件进行了删除。Tata公司并没有回应记者提出的评论请求。截至目前,出于安全考虑,受影响客户的具体名称已经被纳入保密范畴。
加拿大不想为信息安全付费?科尔斯在采访当中强调称,他个人对于加拿大各银行的顽固态度并不意外,事实上他多年来一直在发出类似的安全风险提醒,但情况并未出现什么显著改善。
科尔斯表示,加拿大与美国在文化层面存在着巨大差异。加拿大人并不希望为安全信息付费,而他本人当然也不可能以免费方式提供自己的劳动成果。而在美国,科尔斯已经在前往多伦多的同一天在飞机上与多家公司进行了远程会谈,他们乐于购买科尔斯的发现并在当天晚上进一步就问题进行了讨论。
科尔斯曾针对加拿大银行软件出版过一本名为《我的人没出错,我的企业没问题!》的论著,他表示研究结果显示每二十五家加拿大银行当中,就有九家面临着钓鱼攻击风险。
他表示,银行应用“会暴露大量数据——每一项交易会在浏览器上产生40 MB相关信息”。然而,绝大多数手机银行应用都没能付出足够的努力以保护其通信内容。
法裔商业金融房屋置业银行Scotiabank正是科尔斯提到的典型目标之一。根据我们得到的消息,该银行的应用并非始终利用HTTPS进行网络连接。
他总结称,“目前至少有上百万用户在使用不安全的银行应用,因此导致严重后果恐怕将只是时间问题。这样的状况令人忧心:如果再不加以重视,那么最终他们连哭都来不及。”
本文转自d1net(转载)