近日,有消息稱,大量涉及上海、興業、浦發等銀行的個人客戶數據正在暗網上被出售,包括客戶的姓名、身份證號、手機號碼、存款數據、家庭住址以及所辦理的業務等信息。
來源 | 上海證券報
作者 | 張豔芬
個人私密信息被洩露,是當前互聯網時代與每個人息息相關的“痛點”。
近日,有國外自媒體爆料稱,暗網上有大量國內銀行的個人客戶數據正在被出售,涉及上海銀行、興業銀行、浦發銀行等國內機金融機構。
疑似涉及百萬條個人信息
根據網絡上爆料信息,這些被洩露數據涉及上海銀行80萬行客戶數據、46萬中國興業銀行信用卡資料、20萬上海理財VIP客戶數據、10萬上海浦發銀行客戶資料等。
具體看,這些被洩露的個人信息包括客戶的姓名、身份證號、手機號碼、存款數據、家庭住址以及所辦理的業務等信息。
記者聯繫上述幾家銀行,有的銀行表示正在核查,有的銀行表示“不是正式消息,不作回應”。
其中,興業銀行相關人士回應記者表示,對於不法分子在暗網上發帖聲稱可出售所謂的多家銀行客戶信息數據,該行經過深入核查比對,確認其中所謂的“興業銀行信用卡客戶信息”與該行真實的客戶信息要素並不吻合,不排除系不法分子偽造、售賣所謂銀行客戶信息牟取不當利益,“網絡上的信息不屬實,我行將保留追究偽冒我行客戶信息、損害我行商譽的法律責任的權利。”
另外一家銀行的內部人士表示,他們近日觀察到了這個現象,並從第三方渠道拿到了數據樣本,但樣本數據與該行的客戶數據並不完全匹配,初步判斷信息有誤。
據瞭解,銀行個人客戶信息洩露的方式大多為黑客攻擊銀行等機構系統,也有機構內部個別員工的洩露行為。
對此,蘇寧金融研究院金融科技研究中心主任孫揚表示,暗網是買賣個人信息的一個牟利的渠道,而金融、互聯網機構系統對外端口比較多,不排除一些端口安全存在漏洞,被一些不法分子利用,並竊取大量個人客戶信息後意圖對外銷售獲利。
“而在內部員工洩露方面,由於近幾年國內監管的嚴厲管控,銀行在個人信息採集、保管和查詢等各個環節有著嚴格記錄體系,員工較難竊取大量的客戶信息。”孫揚表示。
從監管政策看,近年來,監管部門在個人信息保護方面也出臺了一系列規範銀行保險機構銷售行為、服務標準、信息披露、個人信息保護等方面的制度安排,以強化銀行業和保險業的信息風險管理,加大對客戶信息洩露監管的處置力度。
例如,2018年5月,銀保監會發布《銀行業金融機構數據治理指引》其中對於個人信息安全的保障要求是:“銀行業金融機構採集、應用數據涉及到個人信息的,應遵循國家個人信息保護法律法規要求,符合與個人信息安全相關的國家標準。”
近年來,監管部門嚴格監管銀行客戶信息安全管理方面,罰單不斷。而一些違規洩露客戶信息的員工,不僅遭終身禁業,還會受到法律懲罰。
警惕被“撞庫”
實際上,信息洩露的渠道很多。據孫揚介紹,銀行業金融機構以及電商、支付公司等互聯網機構的信息管控已屬嚴格;相對而言,線下機構的個人信息洩露的渠道反而值得警惕。
“例如,教育培訓機構、房產公司反而是個人信息洩露的重災區。不少人可能有這樣的經歷,剛剛在房地產中介處登記了手機號、姓名,就有傢俱公司打電話過來推銷產品。”
至於個人信息的“買家”目的是什麼?孫揚告訴記者,一些買家或是出於銷售房產、汽車等目的,購買個人信息以匹配銷售策略;而還有一些“買家”則利用獲取的個人數據進行“撞庫”。例如,利用竊取某些平臺的客戶賬戶、密碼等,批量嘗試其他平臺的登錄,如果匹配成功,則可以成功竊取客戶資產或其他信息。
所謂“撞庫”,是黑客通過收集互聯網已洩露的用戶和密碼信息,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登錄的用戶。很多用戶在不同網站使用的是相同的賬號密碼,因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址,這就可以理解為“撞庫攻擊”。
4月8日,最高人民檢察院召開了以“嚴厲打擊網絡犯罪,共同防控網絡風險”為主題的新聞發佈會,發佈了最高檢第十八批指導性案例,其中就包括全國首例撞庫打碼案。
來源:最高人民檢察院
