银行数据泄漏:到底该不该信?


来源:安知讯    2021-1-27 9:59

1月8日,有人在国外某论坛上发帖,以8.8个比特币的总价售卖交通银行1679万笔数据。贩卖者还发布了部分测试样本数据,包括客户姓名、账号、开户行、联系地址等。

1月12日,交通银行通过官网发布声明称,经系统核查比对,确认与交通银行真实客户信息不符。交通银行郑重声明,不存在黑客入侵,不存在客户信息泄漏。交通银行已就相关违法行为向公安部门报案,依法追究损害商誉行为的法律责任。

银行数据泄漏:到底该不该信?

整个事件过程看起来让人感到非常熟悉。

2020年4月,涉及国内多家银行数百万条客户数据资料、在暗网被标价兜售的消息广为流传。

其中涉及上海银行80.3155万条、浦发银行10万条、招商银行上海分行6.3万条、中国农业银行90万条、兴业银行46万条客户资料,其中既有储蓄账户、也有信用卡账户及私行理财账户,含客户姓名、客户类型、性别年龄、手机号码、开户账号、住址邮编、存款数据等信息。

随后,涉及到的银行接连发布辟谣公告。农业银行表示,对于近日网络上不法分子贩卖的所谓“农行客户信息”,经认真核查比对,不存在客户信息泄露问题;兴业银行回应称,网络上的信息不属实;浦发银行回应,经排查比对,网传数据没有该行客户账户信息,且与该行客户信息要素不符。

两件事情的起因、经过、结果几乎一模一样,虽然各个涉事银行都发了辟谣公告,但还是不由得让人多想:这事究竟是真的还是假的?

假的:从2019年开始说起

2019年9月,在一个号称全球最大中文暗网交易市场上,有人发了一个帖子:“兴业银行‘现金宝’私人银行理财VIP客户数据!5W+高净值”。

在帖子中,发帖人表示,数据包含姓名、购买金额、电话、身份证号码(部分)、地址等信息,总量大约51500余条,并附上了打码过后的部分数据截图。

最让人惊讶的是,兴业银行确实存在“现金宝4号”私人银行类人民币理财产品。在兴业银行官网中,现金宝4号私人银行类理财产品属于非保本浮动收益型,起购金额为30万。

移动支付网第一时间注意到了此事,后在与兴业银行沟通时,对方表示“在对200条信息进行比对核实过后,仅有4条客户信息与我行数据相符,但4名客户未购买现金宝4号产品。目前总行正在组织核查,分行已向公安机关报警。”

银行数据泄漏:到底该不该信?

于是此事在2019年就宣告结束。

在移动支付网亲身经历的这件事情中,确实感觉到了两件事情:

1.银行对于数据泄漏的敏感性很高。在银行收到消息之后,十分迅速的进行了核查,当地网信部门也在第一时间介入,速度非常快。

2.银行无法在数据泄漏方面说谎。在大规模数据泄漏事件被发现之后,参与事件的角色就已经不止银行、黑客和知情者,网信、网安、监管部门都会介入,在这种情况下真实情况无法隐藏,对于监管部门来说,隐藏问题并不是重点,直面问题、解决问题才是关键。

因此,银行发布的辟谣是非常具有可信度的,虽然看起来只是银行一家之言,但其实背后是有监管部门在背书的。

《网络安全法》第四十二条规定:“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”

银行数据泄漏:到底该不该信?

真的:数据可能是真的

还是要从“兴业银行‘现金宝’私人银行理财VIP客户数据!5W+高净值”这个帖子说起,移动支付网当时验证了帖子中可以勉强分辨的几个手机号。

令人惊讶的是,这些手机号都不是空号,甚至有几个电话号码有人接听,再联想兴业银行的回复“在对200条信息进行比对核实过后,仅有4条客户信息与我行数据相符,但4名客户未购买现金宝4号产品”,我们可以大胆的推断:这些数据可能大部分都是真的,但并不是兴业银行的数据。

从数据维度分析,姓名、手机号、部分家庭住址这些数据并不只有银行在收集,酒店、学校、居委会、物业、医院,甚至部分大楼的门卫都会采集这些信息,泄漏的渠道非常多。

而帖子中的理财产品,名字可以从官网获取,购买金额可以直接乱编,并不能直接证明数据来源就是银行。

因此换句话说,不法分子或为了获得更高的收益,把从其他地方得到的个人信息数据和兴业银行部分公开数据组合到了一起,然后再挂到暗网上进行售卖。金融数据价格是绝对高于来源不明的数据,挂羊头卖狗肉收益肯定会更高。

去年4月“百万银行数据泄漏”事件的末尾,各家涉事银行也得出了相似的结论,“不排除系不法分子为牟取不当利益伪造”。

唯一的问题是,泄露出来的数据在售卖之前,往往会先“洗”一遍,也就是删去无用的数据,并进行有针对性的筛选,最后再进行售卖,经过这样的步骤,往往很难知道泄露源头在哪里。

有媒体报道称,中国有上亿条个人金融数据在地下流通,这些数据维度之多让人瞠目结舌,不仅仅包括个人联系方式,还包括收入信息、工作信息、银行卡信息等等。

银行数据泄漏:到底该不该信?

将这份数据清洗过后完全可以以任何银行的名义发布。因此,银行发生数据泄漏事件大概率不是真的,但是泄漏出来的数据有可能是真的。

数据保护:所有金融机构都要做

在金融数据保护问题上,中国人民银行副行长范一飞曾表示,目前部分消费者和金融机构数据保护意识相对不足,对数据泄露环节和危害认识不到位,而不法分子窃取数据的手段却不断翻新,从面对面诱骗到远程网络攻击,从木马病毒到短信嗅探,个人隐私泄露等安全事件频频发生,甚至危及人民群众生命财产安全,数据安全保护刻不容缓。

数据安全保护是一项所有金融机构都要做的事情,没有谁可以例外。

从2019年、2020年、2021年的三件银行数据泄漏事件来看,只有大家都做好了数据安全保护,甚至于其他行业也都做好了数据安全保护,“百万银行数据泄漏”这种耸人听闻的题目才不会再次出现。

关于本站联系我们手机版
Copyright © 2021 安知讯 粤ICP备11061396号 粤公网安备 44030602001878号