廣告
首頁   >    國內   >    正文

多家銀行回應用戶信息泄露不實 這是集中“被黑”了嗎?

來源:銀行財眼 2020-04-16 13:49:51

日前境外社交網站及黑客論壇上出現多份公開出售中國金融機構客戶信息的帖子,涉及包括上海銀行、浦發銀行、興業銀行、平安保險、招商銀行和農業銀行等多家機構的數百萬條客戶數據。截至目前,六家銀行均回應表示,經比對相關數據后,與其真實客戶信息不匹配或基本不匹配。

mfile_1465039_1_20190626100826.jpg

  外匯天眼APP訊 : 日前境外社交網站及黑客論壇上出現多份公開出售中國金融機構客戶信息的帖子,涉及包括上海銀行、浦發銀行、興業銀行、平安保險、招商銀行和農業銀行等多家機構的數百萬條客戶數據。截至目前,六家銀行均回應表示,經比對相關數據后,與其真實客戶信息不匹配或基本不匹配。

  一家機構的專業風控人士向鳳凰網財經《銀行財眼》表示,通過數據驗證發現大部分數據可能是在2018年之前,相關銀行、證券等風控制度不完善的時候泄露的客戶數據,而且經過查證,相當一部分數據是偽造的,大量不實。

  為何金融機構在此時出現集中數據泄露及而且偽冒的情況? 中國銀行業數據安全集中“被黑”?

  “估計賣數據的人想賣高價,銀行數據在灰黑產中最貴,因為驗真也直接。”一位長期關注數據安全的律師表示,銀行等金融機構對數據安全的保護都最高,如果出現泄密,那極可能是被脫庫或是出現內鬼。

  興業、浦發、上海銀行等在回應中也提到“不排除系不法分子為牟取不當利益偽造、拼湊、出售所謂銀行的客戶信息”,并表示將保留追究偽冒銀行客戶信息、損害銀行商譽的法律責任的權利。

  數百萬客戶信息被公開售賣 多家銀行回應:信息不實

  鳳凰網財經《銀行財眼》追溯twitter、Raid Forums等發現,其中涉及到80萬條上海銀行客戶數據、10萬條浦發銀行客戶數據、46萬條興業銀行信用卡用戶私人數據、10萬條平安保險數據、6.3萬條招商銀行金卡客戶、農業銀行90萬數據等。這些數據包括姓名、身份證號、手機號、存款數據、家庭住址等多項隱私信息,甚至注冊時所填寫的密碼驗證問題都清晰可見。

  對此,多家銀行已經對通過對手機號、客戶編號、身份證號等信息要素進行查證匹配,如前述所涉的上海銀行、浦發銀行、興業銀行、招商銀行、中國平安和農業銀行均回復鳳凰網財經《銀行財眼》表示“信息不匹配”,并會追求造謠者的法律責任。

  上海銀行回應表示,對其中所稱的“上海銀行客戶信息”進行了比對,發現其所稱的上海銀行客戶信息中并無該行銀行賬戶信息,且與真實客戶信息關鍵要素并不匹配。上海銀行認定該販賣信息非該行泄露數據,不排除系不法分子為牟取不當利益偽造、拼湊、出售所謂銀行的客戶信息。

  浦發銀行回應表示,經排查比對,網傳數據沒有該行客戶賬戶信息,且與該行客戶信息要素不符。不排除不法分子將不明來源數據冠以金融機構名義兜售,以牟取非法利益。對于偽冒該行信息、損害該行商譽的不法行為,浦發銀行表示,將保留追究其法律責任的權利。

  興業銀行回應表示,對于不法分子在暗網上發帖聲稱可出售所謂的多家銀行客戶信息數據,該行經過深入核查比對,確認其中所謂的“興業銀行信用卡客戶信息”與該行真實的客戶信息要素并不吻合,不排除系不法分子偽造、售賣所謂銀行客戶信息牟取不當利益,“網絡上的信息不屬實,我行將保留追究偽冒我行客戶信息、損害我行商譽的法律責任的權利。”

  中國平安方面回應稱,經排查,相關客戶信息并非公司客戶,系不法分子偽造。中國平安對偽造并販賣公民信息的犯罪行為表示嚴厲譴責,呼吁有關執法司法部門嚴厲打擊這一違法犯罪行為。

  招商銀行回復稱,經比對相關數據,與我行真實客戶信息并不吻合,網絡上的信息不屬實。我行譴責任何偽造并販賣公民信息的犯罪行為,并保留追究損害我行聲譽法律責任的權利。

  農業銀行回應表示高度重視“所謂農行客戶信息的消息”,經認真核查比對,不存在客戶信息泄露問題。并已向監管部門報告有關情況,準備向公安機關報案,將積極配合公安部門調查取證,如有進一步情況,會及時公布。

  數據灰黑產:金融信息最貴

  一位專業風控人士向鳳凰網財經《銀行財眼》記者表示,大部分數據或是在2018年之前,銀行相關風控制度不完善的時候泄露的客戶數據,但經過查證發現部分數據存在偽造行為,并非是“泄露”而是從他處“拷貝”而來,樣本真實性存疑。

  銀行的數據安全能力及防火墻被公認為業內最高,銀行數據也是最貴的一類數據之一。數位分析人士同意幾家銀行所說的“不排除不法分子將不明來源數據冠以金融機構名義兜售,以牟取非法利益”。

  這些泄密帖子中有一些已明碼標價:Raid Forums上一則帖子表示,以3999美元的價格出售農業銀行90萬的數據;另一則帖子表示8美元就能買到28萬多條銀行借款客戶的信息。

  一位研究過數據灰產的人士告訴鳳凰網財經《銀行財眼》記者,隱私數據的定價都是看行業、需求的,2017年以后沒有標準價格了,如果是能查定制化的數據比如開房記錄就會很貴;但是如果是打包的數據庫販賣,就很便宜,比如去年華住集團的隱私數據,幾十萬條開房記錄也就幾個比特幣吧。

  除卻金融機構客戶信息外,還有航空公司客戶、VPN使用者客戶、甚至企業家信息被泄露。

  銀行不怕黑客 怕內鬼

  網絡大數據時代,數據安全愈發重要。據安全企業Risk Based Security統計,2019年上半年,全球發生3813起數據泄露事件,被公開的數據達41億條。各行業正在遭受高頻次數據泄露安全事件困擾。

  銀行等金融機構掌握著大量用戶、非常關鍵的信息數據。因此,銀行業歷來也極為注重數據安全。2018年5月,銀保監會印發的《銀行業金融機構數據治理指引》明確提出,銀行業金融機構應當建立數據安全策略與標準,依法合規采集、應用數據,依法保護客戶隱私,劃分數據安全等級,明確訪問權限,監控訪問行為,完善數據安全技術,定期審計數據安全。

  一位業內人士認為,銀行數據泄露,要么被脫庫(被黑),要么有內鬼。多位業內人士均表示,銀行業數據風控標準普遍最高,“不怕黑客,怕內鬼”。

  鳳凰網財經《銀行財眼》記者梳理發現,曾有銀行工作人員因泄露客戶信息被判刑。2017年3月17日,中國建設銀行股份有限公司余姚城建支行行長沈靜沖曾將非法獲取的余姚市東城名苑業主的財產信息共計1111條通過QQ郵箱非法提供給周某用于招攬業務;同年4月12日,他將該行受理的貸款客戶財產信息共計127條提供給周某用于招攬業務。近日,法院宣判沈靜沖犯侵犯公民個人信息罪,判處三年,緩刑三年,并處罰金人民幣六千元。

  世界通信行業巨頭威瑞森公司曾在一份報告中指出,近四分之一的數據泄露是由于企業內部人員操作不當或主動泄露造成的。但蘇寧金融研究院金融科技研究中心主任孫揚也表示,“在內部員工泄露方面,由于近幾年國內監管的嚴厲管控,銀行在個人信息采集、保管和查詢等各個環節有著嚴格記錄體系,員工較難竊取大量的客戶信息。”

  2020年3月6日,中國銀保監會辦公廳發布的《關于預防銀行業保險業從業人員金融違法犯罪的指導意見》中也再次強調“嚴防信息科技領域違法犯罪行為”,其中提到銀行保險機構要“加強對客戶信息收集、維護、使用人員的培訓管理。在內部產品和業務流程設計上落實客戶信息安全控制和風險提示。明確約定涉及客戶資料交接的對外合作保密條款,消除信息泄露隱患。嚴防從業人員利用職權和管理漏洞,篡改后臺數據,盜取資金,以及非法數據、販賣客戶信息等行為。”

【免責聲明】中金網發布此信息目的在于傳播更多信息,與本網站立場無關。中金網不保證該信息的準確性、真實性、完整性、有效性等。相關信息并未經過本網站證實,不構成任何投資建議,據此操作,風險自擔。

廣告
草莓印