百万银行数据在外国被叫卖?明明去年就在中文暗网开卖了
陈拾九移动支付网2020/4/20 11:53:13

近日,“百万银行数据被挂外国暗网售卖”的消息在网上不断流传,涉及中国平安、浦发银行、兴业银行、招商银行等多家国内金融机构。

在形势越演越烈的时候,4月15日,多家金融机构公开回应:经过对比查验,相关数据并不属实,不排除系不法分子为牟取不当利益伪造。

面对这一结论,有人觉得理所应当,毕竟各大银行是花了大力气做数据治理的,不可能这么轻易的泄露;也有人觉得这是各大银行在欲盖弥彰,强撑着不承认数据泄露罢了。

事情真相如何还要等待监管部门调查结果,但是监管部门从哪开始调查就不好说了。这一切要从去年9月开始。

1.“VIP客户数据!5W+高净值!”

2019年9月,在一个号称全球最大中文暗网交易市场上,有人发了一个帖子:“兴业银行‘现金宝’私人银行理财VIP客户数据!5W+高净值”。

在帖子中,发帖人表示,数据包含姓名、购买金额、电话、身份证号码(部分)、地址等信息,总量大约51500余条,自动发货,并附上了打码过后的部分数据截图。

最让人惊讶的是,兴业银行确实存在“现金宝4号”私人银行类人民币理财产品。在兴业银行官网中,现金宝4号私人银行类理财产品属于非保本浮动收益型,起购金额为30万。

移动支付网第一时间注意到了此事,后在与兴业银行沟通时,对方表示“在对200条信息进行比对核实过后,仅有4条客户信息与我行数据相符,但4名客户未购买现金宝4号产品。目前总行正在组织核查,分行已向公安机关报警。”

于是此事在2019年就宣告结束。

时至今日,再回过头去看这份数据,如果排除银行产品相关信息,和今年4月在外国暗网上被售卖的数据在维度上几乎完全一致。最大区别,外国暗网售卖的兴业银行数据量是中文暗网上的9倍。

而在暗网上,打着“某某银行、某某证券VIP客户数据”的帖子并不在少数。

国外暗网售卖百万中国银行数据的消息爆出时,我们首先就想到了去年9月发生的事件,并对事情最后的结果做出了一定的猜测,毕竟去年兴业银行的说明还历历在目。

事情就如同所料想的那样,兴业银行做出了和去年类似的回复,随后各大银行也发出了类似的声明:“被售卖信息并不真实,已经上报监管部门,我方将保留追究法律责任的权利。”

那么问题来了,这些数据从哪来的?

2.泄露源头难以回溯

“在对200条信息进行比对核实过后,仅有4条客户信息与我行数据相符,但4名客户未购买现金宝4号产品”,这是兴业银行给的回复,由此可获得两个信息。

1、暗网上售卖的个人信息很有可能是真的,起码有一部分数据是真实数据。

2、这5万条个人信息数据并不是兴业银行数据,而是拼凑得到的数据。

换句话说,不法分子或为了获得更高的收益,把从其他地方得到的个人信息数据和兴业银行部分公开数据组合到了一起,然后再挂到暗网上进行售卖,相当于挂羊头卖狗肉。

当然,这只是一种可能,目前各大银行的调查也没有排除“撞库”的可能。但不管是哪一种可能,都说明了一件事情:大量的个人信息数据在暗网上流传。

这些数据从哪里而来已经无法考证,因为泄露出来的数据在售卖之前,往往会先“洗”一遍,也就是删去无用的数据,并进行有针对性的筛选,最后再进行售卖。经过这样的步骤,往往很难知道泄露源头在哪里。

这无疑会给监管部门的调查带来巨大的麻烦,特别是此次事件发生在暗网之上,进一步加大了执法的难度。

3.暗网不是法外之地

对于暗网,大部分人可能只是知道,但并不了解。从本质上来说,暗网和普通的互联网功能并没有区别,只不过暗网使用了特殊加密技术刻意隐藏了相关互联网信息,不使用特殊手段无法访问暗网。而一旦进入了暗网,就很难被追查。

这就是暗网的特点,它更像是最早期的互联网,谁都不知道自己在和谁交谈、交换信息,因此暗网成为了不法分子聚集之地,警察没有办法通过暗网找到他们。

但这个认为是错误的。去年11月,公安部通报“净网2019”专项行动成果,2019年全国共立“暗网”相关案件16起,抓获从事涉“暗网”违法犯罪活动的犯罪嫌疑人25名。公安部新闻发言人郭林表示,虽然暗网有匿名性和隐蔽性特点,但暗网并不是“法外之地”和“避罪天堂”。

公安部近日公布了十起侵犯公民个人信息违法犯罪典型案件,其中四起都是利用暗网作案。(详情见《公安部公布十起侵犯公民个人信息违法犯罪典型案件》)

4.数据安全挑战数字化转型

虽然目前涉事各行均已辟谣,但数据泄露事件依旧引起了广泛关注。原因也很简单,银行已经发布声明表示无辜,但是数据泄露这件事本身是真的,确实有百万数据在暗网上被叫卖。

目前我国针对金融机构的个人数据安全有一些相关规定,比如《网络安全法》、《网络安全等级保护》、《个人金融信息保护技术规范》等等,但依旧缺乏专门性立法或者行政管理办法。

《个人金融信息保护试行办法》以及《数据安全管理办法》目前仍处于征求意见稿状态,而《个人信息保护法》、《数据安全法》还未见踪影。

但是银行的数字化转型已经开始发力。今年春招,各大国有银行、股份制银行纷纷加大了相关人才的招聘力度,从银行的年报中也可以得知金融科技相关人员比例也在不断提升。

邮储银行董事长张金良公开表示:“要践行科技兴行战略,每年拿出营业收入的3%左右投入到信息科技领域。加快科技人才引进,到2023年底实现全行科技队伍翻两番。”

在这种形势下,保障数据安全成为了银行在数字化转型中必须要面对的挑战,而且不仅仅要防止数据泄露,还要防止此类事件的再次发生,可谓是任重而道远。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消