暗网盗卖金融信息 多家上市银行遭涉及

本篇文章2175字，读完约5分钟

截至2019年底，中国已开立银行账户113.52亿个，人均银行账户数达到8.09个。谁来保护这些账户的安全？最近，有关许多国内银行的数百万客户数据在黑暗网络上以高价出售的消息已经广为流传。虽然经过数据比对和验证，所有涉案银行均否认兜售数据包的真实性，但涉及面广的巨额金融数据，尤其是如何确保银行用户敏感信息的安全，继续引起业界的关注。

用户数据以包心菜价格出售？

与许多国内银行相关的数百万客户数据已经在这个黑暗的网络上以高价出售，这在最近几天引起了业内的广泛关注。4月15日，一名金融安全技术人员向记者证实，被盗信息实际上是在黑网上看到的。

根据数据安全人员此前发布的相关截图，出售的信息包含大规模金融机构客户数据，包括803，155家上海银行(601，229只诊断股票)、100，000家上海浦东发展银行(600，000只诊断股票)和招商银行(600，036只诊断股票)。上海有6.3万家分行，中国农业银行有90万家。泄露的信息包括储蓄账户、信用卡账户和私人银行理财账户，包括客户姓名、客户类型、性别、年龄、手机号码、账号、地址邮政编码、存款数据等信息。

“46万银行信用卡客户数据的价格不到100美元，90万数据的价格只有3999美元(约合2.8万元人民币)，简直就是白菜的价格。如果是真实数据，那么如此庞大的数据量的实际价格至少是10倍。”大数据行业风险控制主管对记者表示，虽然截图中显示的样本数据非常详细，但如此大量数据的价格却低得离谱。窃取数据是真的吗？可信度可能有一个问号。

为了核实上述情况，记者还首次联系了涉案银行。兴业银行、招商银行和上海浦东发展银行的态度相对一致:经过验证和比较，与真实数据信息不符；不排除犯罪分子以金融机构的名义兜售来源不明的数据以获取非法利益。

上海银行的一位相关人士告诉记者，“经过详细比对，发现所谓的客户信息并不包含我行的银行账户信息，与我行真实客户信息的关键要素不匹配。可以确定销售信息不是我行泄露的，也不排除犯罪分子为了不正当利益伪造、拼凑、出售所谓银行的客户信息。”

谁在保护数百亿账户的安全？

尽管数以百万计的兜售数据包的真实性遭到了驳斥，但如何才能保证海量金融数据的安全性，尤其是银行用户的敏感信息？这足以引起业界和监管部门的关注。

根据中央银行的统计，中国的银行账户数量稳步增长。截至2019年底，全国共开立银行账户113.52亿个，同比增长12.07%。其中，全国银行账户6836.87万个，同比增长11.73%；个人银行账户112.84亿，同比增长12.07%；中国人均拥有8.09个银行账户。

杭州某大型科技公司金融业务部总经理负责银行物联网解决方案，涉及数据服务采集业务。他给记者举了一个例子，“从信息保存和传输安全的角度来看，设备收集的信息一般都存储在当地的银行机构。一方面，银行本身有专用网络，内部网络和外部网络是分开的，还有硬件设施中的防火墙保护；另一方面，各银行对各级安全认证都有严格的审查和管理。”

泄漏或在前端

根据最近发布的六大国有银行年报，2019年，其中四家银行的科技投资总额超过100亿元，中国建设银行的最高投资额(601939)为176.33亿元。截至2019年底，工行(601398)拥有金融科技人员3.48万人，占员工总数的7.82%。中国建设银行、交通银行(601328)、中国银行(601988)和农业银行的金融科技人员比例分别为2.75%、4.05%

银行加大科技投入，扩大科技人员规模。然而，银行数据保密性的所有方面，尽管受到最高级别风险的保护，仍然难以得到充分解释。首先，不同金融机构之间以及金融机构内部的安全能力存在差异。“大中型金融机构风险水平较高，但部分分行风险能力较弱，账户密码保护可能不严格。一些地下灰色和黑色行业会有组织、有目的地进行攻击，并抓住某些系统平台的漏洞。”周俊珍介绍道。

上述股份制银行的智能风险控制中心主任直言不讳地表示:“银行的风险控制水平不是一碗水。”“一些银行的风险控制水平较高，一些银行的风险控制水平较低，而所有模式的强势银行都是业内人士。专业建模；然而，一些地方，如偏远地区的银行，缺乏高端数据专业人员，只能通过外包来建立模型。甚至一些没有技术能力的银行也直接使用一些第三方公司的流量数据。这些数据包括身份认证的三个要素和一些行为特征，但这些数据通常可能在使用前就已泄露。”

“泄密环节在前端”——在金融机构几位资深风险控制从业人员看来，这是一个新的变化，应引起业界对近年来网上银行业务风险防控的关注。

彭思祥认为，银行数据泄漏的可能场景包括信息技术操作领域的访问控制策略不当、开发、测试和维护领域的数据未分离或脱敏、信息安全领域的系统漏洞，其中一个重要方面出现在“外包管理领域”，尤其是外包R&D和测试的管理不当。暴露于生产环境和数据库的过度授权将导致数据泄漏。”

事实上，在银行数据管理收紧的背后，是国家层面对个人信息数据管理的系统性攻击。去年下半年，工业和信息化部(MIIT)多次公开点名批评100多家应用软件及其运营企业，涉及越权和未经用户同意不必要使用个人信息等违规行为。

本文来自财富电力网。未经财富网书面授权，严禁转载，违者将追究法律责任！[如需合作，请联系卢先生(400-167-7700)]