多家银行客户信息遭泄露？兴业银行回应：或为不法分子伪造

本篇文章2287字，读完约6分钟

中信经纬客户4月14日电(记者魏伟)近日，据Twitter账户@bank security发布的多条消息显示，数百万条国内银行数据正在被出售。其中农业银行客户数据90万，上海银行客户数据80万，兴业银行信用卡数据46万，上海浦东发展银行客户数据10万。

对此，兴业银行回应中信经纬的客户，称网络上的信息不真实。经过深入核实和比较，确认所谓的“兴业银行信用卡客户信息”与银行真实的客户信息要素不符。

数百万银行客户信息被出售

根据目前网上公布的信息，涉嫌出售的客户信息涉及农行、上海银行、兴业银行、上海浦东发展银行等。每家银行都泄露了数十万条信息。

涉嫌泄露的客户信息包括银行、姓名、年龄、地址、电话号码和身份证号码等基本个人信息。

中信经纬记者在网上看到，一位用户出售了90万份中国农业银行的客户资料，全部以3999美元(约合2.82万元人民币)的价格售出，其中一条个人信息仅售3美分。

此外，还有28万条国内银行贷款信息涉嫌泄露。“只需8美元，您就可以购买28万份国内银行贷款信息，包括电话号码、银行卡号码和家庭住址”。网上的帖子还特别写道:“这些信息特别适合大众营销活动。”

根据上面的社交媒体号码，这些银行贷款信息甚至包含pii(个人验证信息)。

一家通信公司的高级工程师柏杨介绍了中信经纬的客户。pii是个人身份验证信息，包括个人密钥数据，包括姓名、电子邮件、电话号码、地址、指纹等。这种信息泄露非常严重。最简单的是，罪犯可能通过发送垃圾邮件来骚扰你，这将严重影响你的人身安全。

兴业银行称网上信息不真实

兴业银行相关负责人回复中信经纬客户，网上信息不真实。银行非常重视罪犯在网上发布的所谓多银行客户信息数据。经过深入核实和比较，确认所谓的“兴业银行信用卡客户信息”与银行真实的客户信息要素不符，不排除犯罪分子以不正当利益为目的伪造和出售所谓的银行客户信息。

兴业银行表示，将保留追究伪造银行客户信息和损害其商誉的法律责任的权利。

上海浦东发展银行的一名相关工作人员表示，他已经注意到了相关信息，现在流出的信息是网页截图，很难区分真伪。

此外，上海银行相关工作人员表示，反馈将得到进一步核实。农业银行尚未做出回应。

在这方面，柏杨认为，确实有伪造信息的可能性，因为银行的数据安全要求非常高，没有一家商业公司能够比银行更好地保护数据。过去，一些银行可能存在信息安全漏洞。但是，在安全等级保护2.0发布后，大多数银行要求至少达到3级，甚至有些地区需要达到4级保护，所以现在金融机构的安全保护相当完善。

如何保护个人信息安全？

根据柏杨的分析，这一事件有两种可能性，一种是伪造数据，另一种是关键信息脱敏后流出的数据。例如，信息中的身份证和手机号码被脱敏和更改，但不是真实的。银行应该能够判断。脱敏后，可以通过数据水印的方式追溯数据。

这一事件再次为金融机构的个人信息安全敲响了警钟。网络法律专家、垦丁网络法学院高级顾问刘洋对中信经纬的客户进行了分析，认为金融信息泄露的原因有两个，一个与银行自身有关，另一个来自外部因素。

刘洋认为，原因与银行自身有关，如银行内部人员的披露和银行机构数据“共享”政策的失败。外部原因包括黑客攻击和第三方组织的泄密。黑客通过敲击、破解、拖拽数据库窃取互联网服务系统，并对数据进行交叉匹配后整理银行卡信息，如攻击非银行支付机构和电子商务平台业务系统，窃取交易信息等。此外，由于许多应用和平台要求用户注册时留下银行卡信息、身份信息和电话号码，因此信息通过第三方支付机构、电子商务平台、医疗保健、教育、房产中介等机构流出也很常见。

在柏杨看来，如果存在大规模的信息泄露，它最有可能发生在数据流通阶段，即数据存储、使用和共享阶段。因为在数据采集阶段，一般是单个用户的数据采集和传输，不太可能发生大规模批量泄漏。在数据存储和使用阶段，可能是权限控制不当，导致一些用户的正确访问和错误操作，导致数据泄露。同时，由于数据文件没有加密，一旦数据泄露，就无法恢复。另一个可能的联系是，在数据共享阶段，由于数据没有被减敏和追溯，大量敏感数据被泄露。当然，在数据使用阶段，数据用户自身也可能受到攻击，导致自己终端上的数据被黑客窃取。

刘洋认为，数据问题和信息安全问题频发，容易触动用户敏感神经，引发网络舆情。同时，数据安全合规也关系到企业和行业的长远发展，银行必须重视对用户个人信息的保护。

他建议我行做好以下六项工作:一是建立健全管理制度，如建立信息共享制度、信息安全管理制度、内部监督等机制，定期检查业务流程管理、风险管控、信息保护技术、客户服务等。二是完善安全技术，严格用户认证和授权访问。有必要从安全技术上提高主动发现违规行为的能力，并在发现后立即予以制止。三是实施权限管理制度。采用最小原则和动态原则，即对进入系统的人默认执行最小权限，并根据需要调整相应的权限，有效堵塞信息安全漏洞。第四，开展安全管理意识和合规意识培训。第五，签署保密补充协议，签署保密承诺书和责任书。在职员工应加强培训和教育，提高保密意识；离职员工应严格限制他们接触机密文件，以防止客户信息泄露。第六，要严格控制与第三方的合作。当交易系统和测试系统通过外包打开时，很容易出现泄露事件。要严格遵守财务信息采集的要求，尊重用户的真实意思和个人信息的自主权，不得非法采集、处理、使用和向外界提供个人财务信息。(中信经纬应用)

(本文意见仅供参考，不构成投资建议。投资是有风险的，所以你进入市场时应该谨慎。(

中信经纬版权所有，未经书面授权，任何单位和个人不得转载、摘录或以其他方式使用。

来源：环球邮报中文网