全球多家金融机构软件供应商源代码泄露

近日，为多家跨国银行及证券交易所提供软件的开发商CMA的软件源代码被公开发布在网上。

CMA客户包括摩洛哥、毛里求斯、阿曼、塞尔维亚、利比亚以及柬埔寨等国的中央银行。该公司同时也在为甲骨文、赛门铁克以及花旗银行等知名厂商提供服务。

调查发现，此次数据泄露事件的幕后主使曾今年7月公开过数十家企业源代码，其中包括微软、Adobe、联想、AMD、高通、摩托罗拉、联发科、GE Appliances、任天堂、Roblox以及迪士尼等等。

威胁情报分析师Bank_Security发布推文称：“国家中央银行使用的软件已被发布至公开的资料库。据称，通过该软件执行的日均交易额超过1000亿美元。”

这些泄露的源代码，可对金融机构造成持续性威胁。不法者可针对这些源代码进行分析找到其漏洞，而后对系统安全进行渗透，放置木马程序获取信息及访问权，或直接发动勒索攻击。

银行木马：卡巴斯基实验室曾于今年7月发现的一种新的Android银行木马，能够从112个金融应用程序中窃取数据。

黑客倒卖访问权：黑市上有很多银行访问权限的倒卖活动，有的价格还很优惠，卖家号称可以提供对全球各家银行的远程访问。通常，攻击者利用一个或多个漏洞，然后将其转售给具有财务动机的黑客，包括有针对性的勒索软件运营商。

勒索软件攻击：各种针对性的勒索软件组织已经攻击了全世界的银行，例如哥斯达黎加、智利和塞舌尔。因为支付赎金的受害者不会出现在勒索软件组织的列表中，所以没有人能确定还有多少银行遭到了有针对性的勒索软件攻击。

此次事件无疑给全球金融行业敲响了警钟。告警企业在日常运行中，任何一个环节出现问题，都可能带来不可预计的损失。

企业单位尤其是特殊敏感行业，不仅需要严谨的制度来约束个人行为作为管理手段，还应该通过“制度+技术”的管理策略来提升内部数据的安全性。

从安全技术上来说，进行数据管理，如数据加密、数据防泄漏、数据溯源、访问权限管控等。同时，进行分权管理，划分数据等级后加密存储，员工等级不同访问权限不同，一般员工不能接触到核心数据，尽可能降低核心数据泄露的风险。

商务密邮：“制度+技术”保护措施，可以防止内部人员有意、无意的信息泄密，还能够有效的防止黑客、木马等程序入侵后窃取文件导致的信息泄密。