一名IT專家聲稱，印度外包公司塔塔（Tata）的工作人員居然將一大批金融機構的原始碼和內部檔案上傳到了GitHub的公共程式碼庫上。

賈森·庫爾斯（Jason Coulls）是食品安全測試公司Tellspec的首席技術官，以前是一名銀行軟體開發員。他說，印度加爾各答的一名塔塔開發員不小心洩露了這一大堆敏感檔案，後來自己無意中發現了這些檔案（https://coulls.blogspot.com/2017/06/how-do-you-fix-mobile-banking-in-canada.html）。他在這批檔案中看到了開發說明、原始原始碼、關於網路銀行程式碼開發計劃的內部報告以及與外包合作伙伴之間的電話記錄。

這些檔案涉及塔塔為六家知名加拿大銀行、兩家著名的美國金融機構、一家跨國日本銀行以及一家年收入高達數十億美元的金融軟體公司從事的程式設計工作。無論對於可能利用設計中任何缺陷、進而竊取數百萬美元的犯罪分子而言，還是對於正在開發類似產品功能的競爭對手而言，這些資料都異常寶貴。

庫爾斯上週告訴英國IT網站The Register：“好訊息是，這些資料沒有一個是銀行客戶的資料，主要是輔助資料。”

“不過裡面還是有好多有用的資料――不僅對於黑客而言如此，對於這家公司的競爭對手而言也是如此。有人在常識方面犯了個天大的錯誤。”

這麼多資訊足以導致嚴重的破壞行為……該螢幕截圖顯示了部分洩露的資料；出於安全考慮，作了一番編輯。

接到洩密警告後，你以為那些受影響的公司會迅速作出反應，然而，實際情況並非如此。現住在加拿大多倫多的英國人庫爾斯表示，他將情況告知那些加拿大銀行後，居然吃了閉門羹，或者無人理睬。

我們獲悉，相比之下，美國金融機構非常迅速地接受了忠告，並立即作出了迴應。那些洩露的檔案很快從GitHub上刪除了。塔塔沒有迴應The Register要求其評論的請求。目前，出於安全考慮，受影響客戶的名稱並未透露。

加拿大銀行怎麼啦？

庫爾斯告訴The Register，他遇到加拿大銀行毫不妥協的情況不足為奇――多年來，他一直對加拿大銀行鬆懈的安全措施頗有微詞，也沒有看到多大的改進。

他解釋道：“加拿大與美國存在巨大的文化差異。加拿大人不想為安全資訊掏錢，我又不是無償工作。而相比之下，美國公司會派人員搭飛機前來多倫多，當天晚上請我喝酒，與我討論這個問題。“

庫爾斯寫過一本內容關於加拿大銀行軟體的電子書（https://www.amazon.com/Not-monkeys-circus-Jason-Coulls-ebook/dp/B06XXQYK6R），題為《不是我的猴子，不是我的馬戲團！》。他說，他的研究表明，25家加拿大Schedule I銀行中有9家很容易受到網路釣魚攻擊。

他說，有一家銀行的應用程式“洩露了大量的資料――每次事務操作會將40MB的資料傳送給瀏覽器。”他表示，也很少有移動銀行應用程式努力為通訊內容確保安全。

加拿大商業金融公司銀行：豐業銀行（Scotiabank）就是庫爾斯重點炮轟的一個物件。他告訴我們，這家銀行的應用程式並不總是使用HTTPS用於網路連線，而是使用不大安全的HTTP。

他說：“現在至少有一百萬人在使用不安全的移動銀行應用程式，早晚會出大婁子。這方面的情形並不樂觀，有人遲早會追悔莫及。”

原文來自微信公眾號：雲頭條（yuntoutiao）