塔塔的開發員犯低級錯誤，將銀行的代碼泄露到GitHub公共代碼庫上！

加拿大的數據泄漏歸根於塔塔

一名IT專家聲稱，印度外包公司塔塔（Tata）的工作人員居然將一大批金融機構的源代碼和內部文件上傳到了GitHub的公共代碼庫上。

賈森·庫爾斯（Jason Coulls）是食品安全測試公司Tellspec的首席技術官，以前是一名銀行軟體開發員。他說，印度加爾各答的一名塔塔開發員不小心泄露了這一大堆敏感文件，後來自己無意中發現了這些文件（https://coulls.blogspot.com/2017/06/how-do-you-fix-mobile-banking-in-canada.html）。他在這批文件中看到了開發說明、原始源代碼、關於網路銀行代碼開發計劃的內部報告以及與外包合作夥伴之間的電話記錄。

這些文件涉及塔塔為六家知名加拿大銀行、兩家著名的美國金融機構、一家跨國日本銀行以及一家年收入高達數十億美元的金融軟體公司從事的編程工作。無論對於可能利用設計中任何缺陷、進而竊取數百萬美元的犯罪分子而言，還是對於正在開發類似產品功能的競爭對手而言，這些數據都異常寶貴。

庫爾斯上周告訴英國IT網站The Register：「好消息是，這些數據沒有一個是銀行客戶的數據，主要是輔助數據。」

「不過裡面還是有好多有用的資料――不僅對於黑客而言如此，對於這家公司的競爭對手而言也是如此。有人在常識方面犯了個天大的錯誤。」

這麼多信息足以導致嚴重的破壞行為……該屏幕截圖顯示了部分泄露的數據；出於安全考慮，作了一番編輯。

接到泄密警告後，你以為那些受影響的公司會迅速作出反應，然而，實際情況並非如此。現住在加拿大多倫多的英國人庫爾斯表示，他將情況告知那些加拿大銀行後，居然吃了閉門羹，或者無人理睬。

我們獲悉，相比之下，美國金融機構非常迅速地接受了忠告，並立即作出了回應。那些泄露的文件很快從GitHub上刪除了。塔塔沒有回應The Register要求其評論的請求。目前，出於安全考慮，受影響客戶的名稱並未透露。

加拿大銀行怎麼啦？

庫爾斯告訴The Register，他遇到加拿大銀行毫不妥協的情況不足為奇――多年來，他一直對加拿大銀行鬆懈的安全措施頗有微詞，也沒有看到多大的改進。

他解釋道：「加拿大與美國存在巨大的文化差異。加拿大人不想為安全信息掏錢，我又不是無償工作。而相比之下，美國公司會派人員搭飛機前來多倫多，當天晚上請我喝酒，與我討論這個問題。「

庫爾斯寫過一本內容關於加拿大銀行軟體的電子書（https://www.amazon.com/Not-monkeys-circus-Jason-Coulls-ebook/dp/B06XXQYK6R），題為《不是我的猴子，不是我的馬戲團！》。他說，他的研究表明，25家加拿大Schedule I銀行中有9家很容易受到網路釣魚攻擊。

他說，有一家銀行的應用程序「泄露了大量的數據――每次事務操作會將40MB的數據發送給瀏覽器。」他表示，也很少有移動銀行應用程序努力為通信內容確保安全。

加拿大商業金融公司銀行：豐業銀行（Scotiabank）就是庫爾斯重點炮轟的一個對象。他告訴我們，這家銀行的應用程序並不總是使用HTTPS用於網路連接，而是使用不大安全的HTTP。

他說：「現在至少有一百萬人在使用不安全的移動銀行應用程序，早晚會出大婁子。這方面的情形並不樂觀，有人遲早會追悔莫及。」

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！