16791320笔客户信息遭暗网售卖？交行紧急发声明……

2021-01-11 21:27:30 作者：新浪金融研究院收藏本文

A- A+

　　文/杨愚

　　交通银行今日发出的一则公开声明，再次引发公众对于金融数据安全的关注。

　　近日，有黑客在国外某论坛上发帖称，交行遭遇黑客攻击以致大量信息被泄露，黑客对这些所谓“超新鲜数据”标出8.8BTC（约合220万元人民币）的价格进行贩卖。

　　交行在声明中否认了数据的真实性。交行称：“经系统核查比对，确认与交行真实客户信息不符。”不过，仍有网友十分不解的在相关新闻下评论：“那（数据）怎么来的？”

　　有专业人士对新浪金融研究院表示，事实上，保障用户信息安全基本上没有绝对稳妥的办法。值得关注的是，去年12月，银保监会主席郭树清表示，监管部门正在研究制定金融数据安全保护条例，构建更加有效的保护机制，防止数据泄露和滥用。

　　交行紧急辟谣

　　引发交行这波公开辟谣的，是一则客户信息于暗网被售卖的消息。

　　近日有消息称，1月8日，有黑客在国外某论坛上发帖，2021年1月“中国交通银行”遭遇黑客攻击，以致于大量信息被泄露贩卖，总泄露数据16791320笔，贩卖价格为“8.8BTC”被挂在某网站，贩卖者留下了联系方式。

　　根据当时的Coingecko数据显示比特币价格为35，121.79美元，因此黑客索要金额约为31万美元，约合220万元人民币。目前，相关内容已从原发论坛删除。

　　图片来源：网络

　　下午，交行于官网和微博发出公开声明紧急辟谣。

　　交行表示，近日交行监测到，有不法分子在暗网发帖贩卖所谓交行客户信息，并有部分自媒体转发相关信息。经系统核查比对，确认与交行真实客户信息不符。

　　交行郑重声明，不存在黑客入侵，不存在客户信息泄漏。交行已就相关违法行为向公安部门报案，依法追究损害交行商誉行为的法律责任。

　　交行进一步表示，该行始终高度重视数据安全保护工作，通过部署多层次网络安全纵深防御措施，切实保障客户信息安全。“我行将积极配合相关部门严厉打击伪造贩卖公民信息、恶意造谣扰乱金融秩序的不法行为。”交行表示。

　　图片来源：交行官网

　　黑客为何“盯上”银行？

　　事实上，这已经不是黑客或者暗网售卖者第一次盯上金融机构了。

　　去年四月，就有网传消息称，多家金融机构上百万条数据疑似正在境外黑客论坛被贩卖，涉及中国平安、浦发银行、兴业银行、招商银行等多家国内金融机构。

　　在上次的疑似信息泄露事件中，信息来源为境外黑客论坛RAID FORUMS。当时数据贩卖者声称，拥有46万条兴业银行信用卡用户个人数据，10万条浦发银行用户数据，10万条中国平安保险数据，6.3万条上海招商银行金卡清单数据和上海银行用户数据等。

　　当时，针对网传客户数据被兜售，浦发银行表示，经排查比对，相关数据无该行账户信息，且与该行客户信息要素不符。不排除不法分子将不明来源数据冠以金融机构名义兜售，以牟取非法利益。

　　上海银行、兴业银行同样确认其中所谓的“银行客户信息”与该行真实的客户信息要素不吻合。中国平安则回应称，经排查，相关客户信息并非公司客户，系不法分子伪造。

　　为何不法分子总是盯上银行，为何银行又总是一口否认？

　　“金融数据最具有价值。”一名分析人士对新浪金融研究院表示。他指出，金融数据的价值很高，一旦被售卖，产生的危害也更大，因此银行对客户信息十分敏感。

　　“银行客户信息在暗网售卖，无非是内部流出，或者系统漏洞被窃取。这两种情况都对银行不利，银行在没有确认的情况下，肯定一般都是否认的。”上述分析人士这样说道。

　　金融数据安全保护条例待出台

　　近年来，个人信息泄露和金融数据安全问题日益成为社会关注的热点。

　　有从事信息安全工作的人士对新浪金融研究院表示，事实上，保障用户信息安全基本上没有绝对稳妥的办法。“因为很多失误是人为失误，不是技术层面能解决的。”他表示。

　　他举了一个极端的例子：“假如有人往某公司食堂扔了一个带有窃取信息病毒的U盘，捡到的人以为是别人丢的，就插电脑上看看是什么。这个也难事后追查，因为从病毒植入到信息被窃取有时间差。”

　　事实上，国内商业银行对于金融信息及数据安全也已有关注，也有越来越多的银行采取设置内网、限定设备等方式加强保护措施。

　　“我们银行的办公室是没有wifi的，也不允许非注册设备接入网络。员工也不允许使用非认证软件或者非认证U盘传输信息。”一名国有大行员工表示。

　　值得关注的是，去年12月8日，银保监会主席郭树清在2020年新加坡金融科技节上演讲表示，中国金融科技应用整体上在法律规范和风险监管等方面是“摸着石头过河”，遇到过不少问题，也积累了一些经验教训。

　　在谈及应对金融科技挑战的经验教训时，郭树清表示，监管要“弥补数据隐私保护制度漏洞”。

　　“一些科技公司利用市场优势，过度采集、使用企业和个人数据，甚至盗卖数据。这些行为没有得到用户充分授权，严重侵犯企业利益和个人隐私。”郭树清说道：“为此，《民法典》明确了个人信息受法律保护，国家层面制定《个人信息保护法（草案）》，监管部门正在研究制定金融数据安全保护条例，构建更加有效的保护机制，防止数据泄露和滥用。”