转:网络大盗利用用友软件漏洞盗窃数百万元

2012-05-23 21:57:46 来源：软件服务社

据南通警方消息：

4月30日晚至5月1日晚，海门一集团有限公司财务账户（使用用友财务管理软件）被犯罪分子以网银转账的形式，分批转帐资金223万元。

4月30日晚，通州一公司财务帐户（使用用友财务管理软件）被犯罪分子以网银转账形式，分批转帐资金130万元。

经串并侦查，发现该两起案件资金均同转帐至署名为“李东”的北京工商、建行帐户；案犯在作案时，将黑客软件植入用户电脑，窃取用户财务软件超级权限，并将软件中财务人员帐户权限进行升级，利用用友财务管理软件在资金调拨业务时无需CA认证的漏洞，再以权限升级后的财务人员帐户非法登录用友财务管理软件，于法定节假日将帐户中资金以网银转帐的形式分批分次转入异地多家银行帐户实施盗窃。

……

注：现在上网搜索时，还能看到一些内容（比如下面的第二条是来自南通市公安局的网站）：

但点击查看时，可以看到相关报导已经被公关掉了：

下面是南通市公安局网站上发布的“紧急预警”的截图（感谢一位用户提供的图片）：

说明：问题的发生源于二个方面：

一、企业管理不善：由于木马而导致密码泄漏，这完全是企业管理方面的问题，而不是软件的问题，如果因此而丢失了“企业信息”，那么是与用友无关的。

二、用友财务软件设计上的不严谨：这些案件发生的最根本原因仍是“利用用友财务管理软件在资金调拨业务时无需CA认证的漏洞”。因为即使用户的密码丢失，如果没有这个漏洞，那么最多只会丢失“企业信息”，但用户的钱是一分都不会丢的。用友这个设计按“常规”看起来，貌似问题不大。但是，谁侵入系统时，会用“常规”的方式呢？如果用釜底抽薪的方式呢？釜底抽薪的方法太多了（具体不多说了），所以用友这个设计上的做法是非常不严谨的。

建议：

一、企业必须有全面的信息安全管理意识，象“由于木马而导致密码泄漏”完全是由于管理不善造成的，无论用什么软件都受不了这种问题。我们近几天刚在网站上推荐了一个用户所写的信息安全管理方面的经验，看来是完全有必要的。

二、政府打击信息犯罪的力度仍然需要加大，象这个窃贼更要严打，NND，名字居然与老李重复了三分之二，吓了我一跳。