百万条客户资料“暗网”叫卖,涉及上海银行、兴业、浦发等银行

凤凰网房产 2020-04-15 11:51:38

个人私密信息被泄露,是当前互联网时代与每个人息息相关的“痛点”。

近日,有国外自媒体爆料称,暗网上有大量国内银行的个人客户数据正在被出售,涉及上海银行、兴业银行、浦发银行等国内机金融机构。

疑似涉及百万条个人信息

根据网络上爆料信息,这些被泄露数据涉及上海银行80万行客户数据、46万中国兴业银行信用卡资料、20万上海理财VIP客户数据、10万上海浦发银行客户资料等。

具体看,这些被泄露的个人信息包括客户的姓名、身份证号、手机号码、存款数据、家庭住址以及所办理的业务等信息。

记者联系上述几家银行,有的银行表示正在核查,有的银行表示“不是正式消息,不作回应”。

其中,兴业银行相关人士回应记者表示,对于不法分子在暗网上发帖声称可出售所谓的多家银行客户信息数据,该行经过深入核查比对,确认其中所谓的“兴业银行信用卡客户信息”与该行真实的客户信息要素并不吻合,不排除系不法分子伪造、售卖所谓银行客户信息牟取不当利益,“网络上的信息不属实,我行将保留追究伪冒我行客户信息、损害我行商誉的法律责任的权利。”

另外一家银行的内部人士表示,他们近日观察到了这个现象,并从第三方渠道拿到了数据样本,但样本数据与该行的客户数据并不完全匹配,初步判断信息有误。

据了解,银行个人客户信息泄露的方式大多为黑客攻击银行等机构系统,也有机构内部个别员工的泄露行为。

对此,苏宁金融研究院金融科技研究中心主任孙扬表示,暗网是买卖个人信息的一个牟利的渠道,而金融、互联网机构系统对外端口比较多,不排除一些端口安全存在漏洞,被一些不法分子利用,并窃取大量个人客户信息后意图对外销售获利。

“而在内部员工泄露方面,由于近几年国内监管的严厉管控,银行在个人信息采集、保管和查询等各个环节有着严格记录体系,员工较难窃取大量的客户信息。”孙扬表示。

从监管政策看,近年来,监管部门在个人信息保护方面也出台了一系列规范银行保险机构销售行为、服务标准、信息披露、个人信息保护等方面的制度安排,以强化银行业和保险业的信息风险管理,加大对客户信息泄露监管的处置力度。

例如,2018年5月,银保监会发布《银行业金融机构数据治理指引》其中对于个人信息安全的保障要求是:“银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。”

近年来,监管部门严格监管银行客户信息安全管理方面,罚单不断。而一些违规泄露客户信息的员工,不仅遭终身禁业,还会受到法律惩罚。

警惕被“撞库”

实际上,信息泄露的渠道很多。据孙扬介绍,银行业金融机构以及电商、支付公司等互联网机构的信息管控已属严格;相对而言,线下机构的个人信息泄露的渠道反而值得警惕。

“例如,教育培训机构、房产公司反而是个人信息泄露的重灾区。不少人可能有这样的经历,刚刚在房地产中介处登记了手机号、姓名,就有家具公司打电话过来推销产品。”

至于个人信息的“买家”目的是什么?孙扬告诉记者,一些买家或是出于销售房产、汽车等目的,购买个人信息以匹配销售策略;而还有一些“买家”则利用获取的个人数据进行“撞库”。例如,利用窃取某些平台的客户账户、密码等,批量尝试其他平台的登录,如果匹配成功,则可以成功窃取客户资产或其他信息。

所谓“撞库”,是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为“撞库攻击”。

4月8日,最高人民检察院召开了以“严厉打击网络犯罪,共同防控网络风险”为主题的新闻发布会,发布了最高检第十八批指导性案例,其中就包括全国首例撞库打码案。

来源:最高人民检察院

1 阅读:166