網絡大數據時代,數據安全非常重要,客戶資料的洩漏,無疑是非常重大的網絡安全事故。日前境外社交網站及黑客論壇上出現多份公開出售中國金融機構客戶信息的帖子,涉及包括上海銀行、浦發銀行、興業銀行、平安保險、招商銀行和農業銀行等多家機構的數百萬條客戶數據。截至目前,六家銀行均回應表示,經比對相關數據後,與其真實客戶信息不匹配或基本不匹配。
一家機構的專業風控人士向媒體記者表示,通過數據驗證發現大部分數據可能是在2018年之前,相關銀行、證券等風控制度不完善的時候洩露的客戶數據,而且經過查證,相當一部分數據是偽造的,大量不實。
為何金融機構在此時出現集中數據洩露及而且偽冒的情況? 中國銀行業數據安全集中“被黑”?
“估計賣數據的人想賣高價,銀行數據在灰黑產中最貴,因為驗真也直接。”一位長期關注數據安全的律師表示,銀行等金融機構對數據安全的保護都最高,如果出現洩密,那極可能是被脫庫或是出現內鬼。
興業、浦發、上海銀行等在回應中也提到“不排除系不法分子為牟取不當利益偽造、拼湊、出售所謂銀行的客戶信息”,並表示將保留追究偽冒銀行客戶信息、損害銀行商譽的法律責任的權利。
數百萬客戶信息被公開售賣 多家銀行回應:信息不實
有媒體記者追溯twitter、Raid Forums等發現,其中涉及到80萬條上海銀行客戶數據、10萬條浦發銀行客戶數據、46萬條興業銀行信用卡用戶私人數據、10萬條平安保險數據、6.3萬條招商銀行金卡客戶、農業銀行90萬數據等。這些數據包括姓名、身份證號、手機號、存款數據、家庭住址等多項隱私信息,甚至註冊時所填寫的密碼驗證問題都清晰可見。
對此,多家銀行已經對通過對手機號、客戶編號、身份證號等信息要素進行查證匹配,如前述所涉的上海銀行、浦發銀行、興業銀行、招商銀行、中國平安和農業銀行均回覆鳳凰網財經《銀行財眼》表示“信息不匹配”,並會追求造謠者的法律責任。
上海銀行相關人士回應表示,對其中所稱的“上海銀行客戶信息”進行了比對,發現其所稱的上海銀行客戶信息中並無該行銀行賬戶信息,且與真實客戶信息關鍵要素並不匹配。上海銀行認定該販賣信息非該行洩露數據,不排除系不法分子為牟取不當利益偽造、拼湊、出售所謂銀行的客戶信息。
浦發銀行相關人士回應表示,經排查比對,網傳數據沒有該行客戶賬戶信息,且與該行客戶信息要素不符。不排除不法分子將不明來源數據冠以金融機構名義兜售,以牟取非法利益。對於偽冒該行信息、損害該行商譽的不法行為,浦發銀行表示,將保留追究其法律責任的權利。
興業銀行相關人士回應表示,對於不法分子在暗網上發帖聲稱可出售所謂的多家銀行客戶信息數據,該行經過深入核查比對,確認其中所謂的“興業銀行信用卡客戶信息”與該行真實的客戶信息要素並不吻合,不排除系不法分子偽造、售賣所謂銀行客戶信息牟取不當利益,“網絡上的信息不屬實,我行將保留追究偽冒我行客戶信息、損害我行商譽的法律責任的權利。”
中國平安方面回應稱,經排查,相關客戶信息並非公司客戶,系不法分子偽造。中國平安對偽造並販賣公民信息的犯罪行為表示嚴厲譴責,呼籲有關執法司法部門嚴厲打擊這一違法犯罪行為。
招商銀行回覆稱,經比對相關數據,與我行真實客戶信息並不吻合,網絡上的信息不屬實。我行譴責任何偽造並販賣公民信息的犯罪行為,並保留追究損害我行聲譽法律責任的權利。
農業銀行回應表示高度重視“所謂農行客戶信息的消息”,經認真核查比對,不存在客戶信息洩露問題。並已向監管部門報告有關情況,準備向公安機關報案,將積極配合公安部門調查取證,如有進一步情況,會及時公佈。
數據灰黑產:金融信息最貴
一位專業風控人士向媒體記者表示,大部分數據或是在2018年之前,銀行相關風控制度不完善的時候洩露的客戶數據,但經過查證發現部分數據存在偽造行為,並非是“洩露”而是從他處“拷貝”而來,樣本真實性存疑。
銀行的數據安全能力及防火牆被公認為業內最高,銀行數據也是最貴的一類數據之一。數位分析人士同意幾家銀行所說的“不排除不法分子將不明來源數據冠以金融機構名義兜售,以牟取非法利益”。
這些洩密帖子中有一些已明碼標價:Raid Forums上一則帖子表示,以3999美元的價格出售農業銀行90萬的數據;另一則帖子表示8美元就能買到28萬多條銀行借款客戶的信息。
一位研究過數據灰產的人士告訴媒體記者,隱私數據的定價都是看行業、需求的,2017年以後沒有標準價格了,如果是能查定製化的數據比如開房記錄就會很貴;但是如果是打包的數據庫販賣,就很便宜,比如去年華住集團的隱私數據,幾十萬條開房記錄也就幾個比特幣吧。
除卻金融機構客戶信息外,還有航空公司客戶、VPN使用者客戶、甚至企業家信息被洩露。
銀行不怕黑客 怕內鬼
網絡大數據時代,數據安全愈發重要。據安全企業Risk Based Security統計,2019年上半年,全球發生3813起數據洩露事件,被公開的數據達41億條。各行業正在遭受高頻次數據洩露安全事件困擾。
銀行等金融機構掌握著大量用戶、非常關鍵的信息數據。因此,銀行業歷來也極為注重數據安全。2018年5月,銀保監會印發的《銀行業金融機構數據治理指引》明確提出,銀行業金融機構應當建立數據安全策略與標準,依法合規採集、應用數據,依法保護客戶隱私,劃分數據安全等級,明確訪問權限,監控訪問行為,完善數據安全技術,定期審計數據安全。
一位業內人士認為,銀行數據洩露,要麼被脫庫(被黑),要麼有內鬼。多位業內人士均表示,銀行業數據風控標準普遍最高,“不怕黑客,怕內鬼”。
媒體記者梳理發現,曾有銀行工作人員因洩露客戶信息被判刑。2017年3月17日,中國建設銀行股份有限公司餘姚城建支行行長沈靜衝曾將非法獲取的餘姚市東城名苑業主的財產信息共計1111條通過QQ郵箱非法提供給周某用於招攬業務;同年4月12日,他將該行受理的貸款客戶財產信息共計127條提供給周某用於招攬業務。近日,法院宣判沈靜衝犯侵犯公民個人信息罪,判處有期徒刑三年,緩刑三年,並處罰金人民幣六千元。
世界通信行業巨頭威瑞森公司曾在一份報告中指出,近四分之一的數據洩露是由於企業內部人員操作不當或主動洩露造成的。但蘇寧金融研究院金融科技研究中心主任孫揚也表示,“在內部員工洩露方面,由於近幾年國內監管的嚴厲管控,銀行在個人信息採集、保管和查詢等各個環節有著嚴格記錄體系,員工較難竊取大量的客戶信息。”
2020年3月6日,中國銀保監會辦公廳發佈的《關於預防銀行業保險業從業人員金融違法犯罪的指導意見》中也再次強調“嚴防信息科技領域違法犯罪行為”,其中提到銀行保險機構要“加強對客戶信息收集、維護、使用人員的培訓管理。在內部產品和業務流程設計上落實客戶信息安全控制和風險提示。明確約定涉及客戶資料交接的對外合作保密條款,消除信息洩露隱患。嚴防從業人員利用職權和管理漏洞,篡改後臺數據,盜取資金,以及非法複製數據、販賣客戶信息等行為。”
(網絡內容整理)
