Tata開發人員將銀行代碼泄露至公共GitHub代碼庫

E安全6月13日訊
食品安全測試企業Tellspec公司CTO兼前銀行軟體開發者傑森·科爾斯表示，他們在偶然之間發現由位於印度加爾各答的軟體開發商Tata公司的員工在公共GitHub代碼庫當中上傳大量涉及金融機構的源代碼與內部文件。在歸檔文件當中，他們發現了開發筆記、原始源代碼、Web銀行代碼開發規劃內部報告以及與各外包合作夥伴間的往來通話記錄。

10家金融單位受影響

這些文件所涉及的源代碼與六家大型加拿大銀行、兩家著名美國金融機構、一家跨國銀行以及一家市值達數十億美元的金融軟體廠商有關。利用這些數據，正在著手開發類似功能的競爭企業以及可能利用設計中安全漏洞竊取數百萬用戶個人信息的網路犯罪分子將獲得顯著的提示與收益。

科爾斯在上周接受採訪時指出，「好消息是，其中並不包括任何銀行客戶數據，文件內容以輔助數據為主。不過其中仍然存在大量可被利用的素材——除了黑客群體之外，各相關企業的競爭對手還可藉此把握前者的運營動態與思路，這無疑是一次巨大的常識性失誤。」

這些信息足以引發嚴重的後續影響……出於安全考慮，我們對所泄露的部分數據的截圖進行了編輯。

在泄露問題警告發布之後，各受影響企業本應快速作出反應——然而根據實際情況來看，事實並非如此。目前於加拿大多倫多工作的科爾斯表示，他親自前往各涉事加拿大銀行發出提醒，但對方卻選擇坐視不理。

相比之下，美國各金融機構的態度則非常積極，據稱其已經立即對此採取應對措施。GitHub短時間內即將這批文件進行了刪除。Tata公司並沒有回應記者提出的評論請求。截至目前，出於安全考慮，受影響客戶的具體名稱已經被納入保密範疇。

加拿大不想為信息安全付費？

科爾斯在採訪當中強調稱，他個人對於加拿大各銀行的頑固態度並不意外，事實上他多年來一直在發出類似的安全風險提醒，但情況並未出現什麼顯著改善。

科爾斯表示，加拿大與美國在文化層面存在著巨大差異。加拿大人並不希望為安全信息付費，而他本人當然也不可能以免費方式提供自己的勞動成果。而在美國，科爾斯已經在前往多倫多的同一天在飛機上與多家公司進行了遠程會談，他們樂於購買科爾斯的發現並在當天晚上進一步就問題進行了討論。

科爾斯曾針對加拿大銀行軟體出版過一本名為《我的人沒出錯，我的企業沒問題！》的論著，他表示研究結果顯示每二十五家加拿大銀行當中，就有九家面臨著釣魚攻擊風險。

他表示，銀行應用「會暴露大量數據——每一項交易會在瀏覽器上產生40 MB相關信息」。然而，絕大多數手機銀行應用都沒能付出足夠的努力以保護其通信內容。

法裔商業金融房屋置業銀行Scotiabank正是科爾斯提到的典型目標之一。根據我們得到的消息，該銀行的應用並非始終利用HTTPS進行網路連接。

他總結稱，「目前至少有上百萬用戶在使用不安全的銀行應用，因此導致嚴重後果恐怕將只是時間問題。這樣的狀況令人憂心：如果再不加以重視，那麼最終他們連哭都來不及。」

E安全註：本文系E安全獨家報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！