記者|張曉雲
近日,一則百萬條客戶數據在暗網被販賣出售的消息引起市場高度關注,其中包含多家國內金融機構,由於涉及個人信息洩露,因此在社交圈引發熱議。
界面新聞記者查詢發現,消息的來源是一家境外公開黑客論壇Raidforums,有用戶暱稱為s868858和togoodforthisshit出售疑似來自國內數家銀行保險等金融機構的公民數據。其中,用戶名為s868858的用戶發帖稱出售農業銀行數據,信息量超90萬行。用戶名為togoodforthisshit的用戶稱出售多家國內銀行、保險等金融機構的一百多萬條客戶信息數據,包括約80萬條上海銀行客戶信息、46萬條興業銀行信用卡客戶信息、10萬條平安保險客戶信息、10萬條浦發銀行客戶信息、6.3萬條招商銀行客戶信息。
對此,多家金融機構稱數據系不法分子偽造,販賣的數據關鍵要素與真實客戶信息不匹配。
上海銀行回復界面新聞稱,經該行對所謂「上海銀行客戶信息」進行了詳細比對,發現其所謂客戶信息中並無該行銀行帳戶信息,且與該行真實客戶信息關鍵要素並不匹配。可認定該販賣信息非該行洩露數據,不排除系不法分子為牟取不當利益偽造、拼湊、出售所謂銀行的客戶信息。
上海銀行表示,該行高度重視客戶數據安全,部署多層次網絡安全縱深防禦措施,能夠及時發現、遏制網絡攻擊行為;制定了包括網絡、數據、終端、網際網路出口層面嚴格的管控措施。對於涉及客戶信息的生產網絡,實施封閉式管理;對開發、測試環境數據實施脫敏處理;對涉及敏感信息的業務系統,實施下載自動加密的技術;禁止USB口等外設的數據輸出;通過技防和人防手段加強員工行為監測、管理。
興業銀行回應稱,對於不法分子在「暗網」上發帖聲稱可出售所謂的多家銀行客戶信息數據,興業銀行經過深入核查比對,確認其中所謂的「興業銀行信用卡客戶信息」與該行真實的客戶信息要素並不吻合,不排除系不法分子偽造、售賣所謂銀行客戶信息牟取不當利益。 該行將保留追究偽冒客戶信息、損害商譽的法律責任的權利。
招商銀行向界面新聞回應稱,經比對相關數據,與我行真實客戶信息並不吻合,網絡上的信息不屬實。我行譴責任何偽造並販賣公民信息的犯罪行為,並保留追究我行聲譽法律責任的權利。
中國平安表示,經排查,相關客戶信息並非公司客戶,系不法分子偽造。中國平安對偽造並販賣公民信息的犯罪行為表示嚴厲譴責,呼籲有關執法司法部門嚴厲打擊這一違法犯罪行為。
其中一家銀行內部人士表示,這種數據的洩露販賣信息幾乎一年一次,都是假的,之所以寫是銀行的信息,一是容易引發關注度,而是因為銀行用戶數據價格較貴。
而在網傳的「百萬銀行客戶數據被售賣」事件中所涉及的浦發銀行則對界面新聞記者表示不回應。據21世紀經濟報導,農業銀行表示正在排查中。
界面新聞記者發現,用戶名為togoodforthisshit的用戶在販賣信息中舉例浦發銀行的信息要素為含姓名、性別、手機號碼、ID號碼和地址。如周X男136XXXX3442 413026XXXXXXXX5179新動感地帶20元簡訊套餐。單從表面看起來,並非銀行用戶信息完整要素,更像運營商數據。而涉及其他金融機構的信息要素舉例主要包括電話、姓名、身份證號以及家庭地址,與有關浦發銀行舉例信息有很大差異。
近年來,個人信息洩露的案例屢有發生,針對金融機構的黑客產業鏈已經十分龐大,而暗網是買賣個人信息的一個牟利的渠道。
監管部門在個人信息保護方面也出臺了一系列規範銀行保險機構銷售行為、服務標準、信息披露、個人信息保護等方面的制度安排,以強化銀行業和保險業的信息風險管理,加大對客戶信息洩露監管的處置力度。
2018年5月21日,銀保監會發布《銀行業金融機構數據治理指引》,提出銀行業金融機構採集、應用數據涉及到個人信息的,應遵循國家個人信息保護法律法規要求,符合與個人信息安全相關的國家標準;要求銀行業金融機構應當建立數據安全策略與標準,依法合規採集、應用數據,依法保護客戶隱私,劃分數據安全等級,明確訪問和拷貝等權限,監控訪問和拷貝等行為,完善數據安全技術,定期審計數據安全。
(記者張曉琪對本文亦有貢獻)