日前,中国工商银行网站被发现存在网上支付的安全漏洞。发现者为我市万州区的一名在校高职生。目前,中国工商银行已紧急采取措施,修补这一漏洞。
我能提取支付密码
3月7日上午,重庆信息技术职业学院副院长赵灵剑等一行三人来到中国工商银行万州分行,他们声称工行网上银行的安全可能出现了重大问题,要求会见银行领导。
赵灵剑说,他们的一名学生用自己制作的一个小软件测试网络安全,发现可以进入中国工商银行网站,任意提取客户资料。
一同前来的该学院通信工程系大二学生赵永春,告诉银行工作人员,他的软件可将工行网上银行客户的账号和支付密码传递给自己,其中支付密码的星号会变成明文,而客户对此无法察觉。
据称,赵永春在进行多次试验、发现状态稳定后,没有告诉任何同学,而是将这一情况直接向学院作了汇报。学院对此十分重视,决定立即派出副院长赵灵剑和负责网络安全的教师谭俊,与赵永春一道,到当地工商银行的分支机构,提醒他们改进。
现场测试确有问题
闻讯前来的工商银行万州分行副行长伍俐及网络安全负责人,均对此事表示不相信:工商银行网上银行是全球十家最安全的网上银行之一,其安全证书由比尔·盖茨主持开发和微软公司授权,哪能如此容易攻破?
在赵永春的坚持要求下,他当场作了演示。
10多分钟后,工商银行人员改变了态度。当天下午,工商银行派专人到学校索取软件源代码。
随后,工商银行万州分行就此事向该行重庆分行以及中国人民银行万州中心支行、万州国家安全局作出汇报。
工行紧急修补程序
昨日,中国工商银行重庆分行电子银行部总经理助理叶强告诉记者:他们将此事上报北京总行后,已对网上银行的相应程序进行了修补。此外,该行的网上银行系统将于近期进行一次例行升级。虽然该漏洞还无法造成危害,但他们仍对赵永春表示感谢,并将上报总行,对其给予奖励。
“登录密码和支付密码的关系就像家庭里的防盗门与房间门。从目前来看,因为客户登录使用的USBK安全证书还无法复制,即使支付密码泄漏,黑客也无法动作。”工商银行技术人士称,但不管怎么说,支付密码能够被截取,就说明安全控件仍有缺陷,他们所作的改进就是禁止浮动窗口覆盖在网页上面。
电脑天才是个贫困生
昨日,记者在位于万州城郊的重庆信息技术职业学院见到了赵永春。18岁的小伙子个头不高,与记者交谈时紧张得鼻尖出汗。然而,就是这个民办高校的大二学生,让工商银行“紧张”了一回。
自编软件发现安全漏洞
赵永春说,自己从大一开始学网络安全课程,“我特别喜欢这门课。”他自写程序登录国内一些网站,寻找网上安全漏洞。上月底,从内部无法进入中国工商银行的他,自外部登录中国工商银行网上支付系统,发现其安全存在疏忽之处。
为此,他专门编写了一个软件对其进行攻击。3月4日,他成功截取到一位工商银行网上银行客户的支付账号和密码。随后,为证实其软件是否稳定,他又进行了数次测试。
电脑天才家里经济拮据
赵永春家在开县偏僻的花林乡农村,家里经济条件很差。为了供他读书,50多岁的父亲不得不出外打工。赵就读的学院照顾赵父,让他在学院当临时工。
赵自称“电脑龄”达3年多———念初二时见到电脑,但“没摸几回。”直到2001年读中专,才真正与电脑有了亲密接触。两年后,他考上了大专。
赵永春称自己目前最大的愿望,就是能和公办高校的学生一样申请到助学贷款。“那样,我就可以买一台属于自己的电脑。”