央广网北京9月8日消息（记者周益帆）据中国之声《新闻晚高峰》报道，近日，包括乌云、补天等漏洞响应平台曝光了多家银行、券商、保险、基金公司网站存在漏洞。这些漏洞主要集中在跨站脚本攻击、金融APP安全问题等，如果不及时处理，包括银行的转账信息、投资者的个人信息、账号密码、交易记录都存在着被泄露的风险。

名字、手机、证件号码等信息，在普通人看来，都是极隐私的内容。但是在一些黑客眼中，却成了牟利的工具，一条个人金融信息，从几十块钱到几毛钱不等，一位卖家甚至表示，只要买方的需求不是特别过分，基本都可以满足。

卖家：根据客户需求，让黑客去做这些事情，他们会根据你的需求，把这些数据弄到手。

记者：一些大的证券公司可以弄到吗？

卖家：可以，就看你需要多少，我们可以根据需求去弄。

记者：我们只要提出需求，基本上咱们这边都能满足，是吧？

卖家：只要不是太过分的，我们都可以。

记者：百万级别的证券公司也是可以的？

卖家：是的，只要价钱合适，我们这边都是可以做的。

乌云网运营人员孟卓说，如果目标网站存在相关的漏洞，这位卖家说的情况，是完全有可能出现的。从7月以来，多家漏洞响应平台曝光了银行、券商、保险、基金公司网站存在漏洞，根据2015年中国互联网安全大会安全专家陈涵的梳理，目前涉及的有平安银行、建设银行、江苏商业银行、包商银行、葫芦岛银行等等，还有国泰基金、中银基金、东方基金、鹏华基金等多个基金以及光大证券、国信证券、广发证券、国都证券等都发现漏洞，有的金融机构甚至一个月被发现了六次黑洞。乌云网运营人员孟卓说，尽管各家金融机构漏洞的表现不完全一致，但其中有不少共性问题。

孟卓：各家表现略有不同，但大概来看，首先，每家银行、券商都会使用一个就像是网站系统的东西，这个系统可能是自己开发的，也可能是现成程序，系统会存在各种各样的问题，可能会影响用户数据。对用户影响来说，因为金融类服务对用户信息的记录非常细致，比如姓名、电话、身份证、住址，甚至绑定银行卡号，开户行等信息，会有泄露风险。

更具体来说，在银行方面，面临的风险是转账记录有可能泄露，比如包商银行网站的一个系统漏洞此前可被利用查看部分银行转账记录，包括转账的金额、时间以及持卡人户名、账号、电话号码等信息，目前大多数银行系统漏洞已经被金融机构确认并修复。

证券公司方面，投资者开户信息遭遇泄露风险。7月以来，国泰君安证券在乌云网上被曝出多个漏洞，其中一个注入漏洞被修复前被响应平台标明为可能泄漏券商预约开户人姓名、手机和邮箱，目前漏洞已经被厂商确认修复。在基金公司、保险公司方面，存在交易信息、保单信息泄露的风险。"补天"漏洞平台数据显示，中银基金此前被曝出某一个系统漏洞涉及千万条个人信息，其中包括基金账号和密码，另外有部分交易记录遭遇泄露风险。中国人保系统此前还被曝出可未授权访问大量保单信息，包括姓名、身份证、学校等，公司确认目前仍在修复中。

补天和乌云两家平台的专家都表示，目前，网络安全信息的泄露是比较严重的，想要确保金融系统的安全，一方面需要预警平台及时的发现问题，另一方面相关的金融网站需要重视漏洞风险，及时修复。

孟卓：从现有报告来看，安全级别或安全漏洞级别还是蛮大的。这种漏洞被发现的话，是很轻易就拿到用户敏感信息，甚至间接影响到网站服务器的系统权限，甚至可能还会影响到券商或金融机构的内部网络环境安全。