当前位置:东阳新闻中心 > 经济动态 >

多家银行客户信息遭泄露?兴业银行回应:或为

作者:admin666来源:时间:2020-04-16 19:26

中新经纬客户端4月14日电(魏薇)近日,据推特账号@Bank Security发布的多条消息显示,百万条国内银行的数据正在被售卖。其中包括90万农业银行(601288,股吧)客户数据,80万上海银行客户数据、46万兴业银行(601166,股吧)信用卡数据和10万上海浦发银行(600000,股吧)客户数据。

对此,兴业银行回应中新经纬客户端表示,网络上的信息不属实,经过深入核查比对,确认其中所谓的“兴业银行信用卡客户信息”与该行真实的客户信息要素并不吻合。

百万条银行客户信息被叫卖

从目前网上公布的信息看,疑似被售卖的客户信息涉及农业银行、上海银行、兴业银行、浦发银行等,每家银行遭泄露的信息均超数十万条。

银行客户信息疑似泄露 来源:社交媒体@Bank Security截图

疑似被泄露的客户信息包括开户银行、姓名、年龄、住址、电话号码、身份证号等个人基本信息。

中新经纬记者在一张网帖上看到,一名用户正在出售中国农业银行90万条客户数据,全部数据售价为3999美元(约合2.82万元人民币),一条个人信息仅卖3分钱人民币。

此外,疑似遭泄露的还有28万条国内银行贷款信息。“仅需8美元,你就可以买到28万条国内的银行贷款信息,包括电话号码、银行卡号、家庭住址”。网帖中还特意写道,“这些信息特别适合做大众营销活动。”

据上述社交媒体号披露,这些银行贷款信息中甚至包含了PII(个人验证信息)。

银行贷款信息疑似泄露 来源:社交媒体@Bank Security截图

某通信公司高级工程师杨波对中新经纬客户端介绍,PII是个人验证信息,包括个人的关键数据,包括姓名、电邮、电话、住址、指纹等。这种信息泄露是非常严重的,最简单是不法份子可能会据此发垃圾信息骚扰你,严重的会影响你的个人安全。

兴业银行称网上信息不属实

兴业银行相关负责人回应中新经纬客户端,网络上的信息不属实。对于不法分子在网上发帖声称可出售所谓的多家银行客户信息数据,该行高度重视,经过深入核查比对,确认其中所谓的“兴业银行信用卡客户信息”与该行真实的客户信息要素并不吻合,不排除系不法分子伪造、售卖所谓银行客户信息牟取不当利益。

兴业银行方面表示,将保留追究伪冒该行客户信息、损害其商誉的法律责任的权利。

浦发银行的一位相关工作人员称,已经注意到相关信息,现在流出的信息是网页截图,真伪尚难以分辨。

此外,上海银行相关工作人员表示,对于反馈的问题会进行进一步核实。农业银行方面暂时尚未回应。

对此,杨波认为,的确存在伪造信息的这种可能,因为银行的数据安全要求非常的高,没有任何商业公司的数据保护力度可以超过银行。过去的确一些银行可能存在信息安全的漏洞。不过在安全等级保护2.0出来后,银行大部分至少是3级要求,甚至部分区域需要等级保护达到4级,所以现在金融机构的安全保护已经相当完善。

如何保护个人信息安全?

杨波分析称,目前看此次事件两种可能,一种是伪造的数据,一种是经过关键信息脱敏后流出的数据,例如信息中的身份证、手机号是脱敏改过的,不是真实的。银行应该可以分辨出来,现在的数据经过脱敏后,可以用数据水印的方式溯源。

此次事件也再次给金融机构的个人信息安全敲响警钟。网络法专家、垦丁网络法学院高级顾问刘洋对中新经纬客户端分析称,金融信息泄露的原因有两个方面,一是跟银行本身有关,一是来自外部因素。

刘洋认为,跟银行本身有关的原因,如银行内部工作人员泄露,银行机构的数据“共享”政策失灵。外部原因则包括黑客攻击和第三方机构的泄露。黑客通过撞库、暴库、拖库,窃取互联网服务系统,将数据交叉匹配后整理出银行卡信息,如攻击非银行支付机构、电商平台业务系统,窃取交易信息。另外,由于许多应用、平台都会在用户注册是要求留下银行卡信息、身份信息、电话号码,信息通过第三方支付机构、电商平台、医疗、教育、房产中介等机构流出的情况也很常见。

在杨波看来,如果出现大规模的信息泄露,最可能出现在数据的流转环节,也就是数据的存储、使用和共享阶段。因为在数据采集阶段,一般是单个用户的数据采集和传输,不太可能出现大规模批量泄露。在数据存储和使用阶段,有可能出现权限控制不当,导致某些用户约权访问、误操作导致数据泄露,同时由于数据文件没有加密,导致数据一旦泄露出去就无法挽回。另一个可能的环节就是在数据共享阶段,由于数据没有经过脱敏和溯源处理,导致大量的敏感数据泄露。当然,在数据使用阶段,数据使用者也可能本身遭到了攻击,导致自身终端上的数据被黑客窃取。

刘洋认为,数据问题和信息安全问题频发,很容易触动用户的敏感神经,引起网络舆情。同时数据安全合规也关系企业、行业长远发展,银行必须重视用户个人信息保护。

他建议银行要做好以下六项工作:一是建立完善管理制度,比如建立信息共享规定、信息安全管理规定,内部监督等机制,定期对业务流程管理、风险管控、信息防护技术、客户服务等进行排查。二是从安全技术上进行完善,严格用户认证、授权访问。要从安全技术上提升违规行为主动发现能力,发现后有技术即时制止。三是实行权限管理制度。采取最小原则和动态原则,即对进入系统的人默认实行最小权限,根据需要调整相应权限,有效堵塞信息安全漏洞。四是进行安全管理意识、合规意识培训。五是签订保密补充协议,签订保密承诺书、责任书。在职员工应当加强培训教育,提高保密意识;离职员工应当严格限制其对涉密文件资料的使用权限,以防客户信息的泄露。六是严把与第三方合作关口。在以外包方式开放交易系统、测试系统时,容易发生泄露事件。要严格遵守金融信息采集要求,尊重用户真实意思和个人信息自主权,不得非法收集、处理、使用和对外提供个人金融信息。(中新经纬APP)

(文中观点仅供参考,不构成投资建议,投资有风险,入市需谨慎。)


上一篇:信息量很大!《全球金融稳定报告》发布,六大

下一篇:没有了