深度|多家银行回应用户信息泄露不实，这是集中“被黑”了吗？

来源｜凤凰网财经银行财眼

文｜龚奕洁 吴欢

凤凰网财经4月15日讯 日前境外社交网站及黑客论坛上出现多份公开出售中国金融机构客户信息的帖子，涉及包括上海银行、浦发银行、兴业银行、平安保险、招商银行和农业银行等多家机构的数百万条客户数据。截至目前，六家银行均回应表示，经比对相关数据后，与其真实客户信息不匹配或基本不匹配。

一家机构的专业风控人士向凤凰网财经《银行财眼》表示，通过数据验证发现大部分数据可能是在2018年之前，相关银行、证券等风控制度不完善的时候泄露的客户数据，而且经过查证，相当一部分数据是伪造的，大量不实。

为何金融机构在此时出现集中数据泄露及而且伪冒的情况？ 中国银行业数据安全集中“被黑”？

“估计卖数据的人想卖高价，银行数据在灰黑产中最贵，因为验真也直接。”一位长期关注数据安全的律师表示，银行等金融机构对数据安全的保护都最高，如果出现泄密，那极可能是被脱库或是出现内鬼。

兴业、浦发、上海银行等在回应中也提到“不排除系不法分子为牟取不当利益伪造、拼凑、出售所谓银行的客户信息”，并表示将保留追究伪冒银行客户信息、损害银行商誉的法律责任的权利。

数百万客户信息被公开售卖 多家银行回应：信息不实

凤凰网财经《银行财眼》追溯twitter、Raid Forums等发现，其中涉及到80万条上海银行客户数据、10万条浦发银行客户数据、46万条兴业银行信用卡用户私人数据、10万条平安保险数据、6.3万条招商银行金卡客户、农业银行90万数据等。这些数据包括姓名、身份证号、手机号、存款数据、家庭住址等多项隐私信息，甚至注册时所填写的密码验证问题都清晰可见。

对此，多家银行已经对通过对手机号、客户编号、身份证号等信息要素进行查证匹配，如前述所涉的上海银行、浦发银行、兴业银行、招商银行、中国平安和农业银行均回复凤凰网财经《银行财眼》表示“信息不匹配”，并会追求造谣者的法律责任。

上海银行相关人士回应表示，对其中所称的“上海银行客户信息”进行了比对，发现其所称的上海银行客户信息中并无该行银行账户信息，且与真实客户信息关键要素并不匹配。上海银行认定该贩卖信息非该行泄露数据，不排除系不法分子为牟取不当利益伪造、拼凑、出售所谓银行的客户信息。

浦发银行相关人士回应表示，经排查比对，网传数据没有该行客户账户信息，且与该行客户信息要素不符。不排除不法分子将不明来源数据冠以金融机构名义兜售，以牟取非法利益。对于伪冒该行信息、损害该行商誉的不法行为，浦发银行表示，将保留追究其法律责任的权利。

兴业银行相关人士回应表示，对于不法分子在暗网上发帖声称可出售所谓的多家银行客户信息数据，该行经过深入核查比对，确认其中所谓的“兴业银行信用卡客户信息”与该行真实的客户信息要素并不吻合，不排除系不法分子伪造、售卖所谓银行客户信息牟取不当利益，“网络上的信息不属实，我行将保留追究伪冒我行客户信息、损害我行商誉的法律责任的权利。”

中国平安方面回应称，经排查，相关客户信息并非公司客户，系不法分子伪造。中国平安对伪造并贩卖公民信息的犯罪行为表示严厉谴责，呼吁有关执法司法部门严厉打击这一违法犯罪行为。

招商银行回复称，经比对相关数据，与我行真实客户信息并不吻合，网络上的信息不属实。我行谴责任何伪造并贩卖公民信息的犯罪行为，并保留追究损害我行声誉法律责任的权利。

农业银行回应表示高度重视“所谓农行客户信息的消息”，经认真核查比对，不存在客户信息泄露问题。并已向监管部门报告有关情况，准备向公安机关报案，将积极配合公安部门调查取证，如有进一步情况，会及时公布。

数据灰黑产：金融信息最贵

一位专业风控人士向凤凰网财经《银行财眼》记者表示，大部分数据或是在2018年之前，银行相关风控制度不完善的时候泄露的客户数据，但经过查证发现部分数据存在伪造行为，并非是“泄露”而是从他处“拷贝”而来，样本真实性存疑。

银行的数据安全能力及防火墙被公认为业内最高，银行数据也是最贵的一类数据之一。数位分析人士同意几家银行所说的“不排除不法分子将不明来源数据冠以金融机构名义兜售，以牟取非法利益”。

这些泄密帖子中有一些已明码标价：Raid Forums上一则帖子表示，以3999美元的价格出售农业银行90万的数据；另一则帖子表示8美元就能买到28万多条银行借款客户的信息。

一位研究过数据灰产的人士告诉凤凰网财经《银行财眼》记者，隐私数据的定价都是看行业、需求的，2017年以后没有标准价格了，如果是能查定制化的数据比如开房记录就会很贵；但是如果是打包的数据库贩卖，就很便宜，比如去年华住集团的隐私数据，几十万条开房记录也就几个比特币吧。

除却金融机构客户信息外，还有航空公司客户、VPN使用者客户、甚至企业家信息被泄露。

银行不怕黑客 怕内鬼

网络大数据时代，数据安全愈发重要。据安全企业Risk Based Security统计，2019年上半年，全球发生3813起数据泄露事件，被公开的数据达41亿条。各行业正在遭受高频次数据泄露安全事件困扰。

银行等金融机构掌握着大量用户、非常关键的信息数据。因此，银行业历来也极为注重数据安全。2018年5月，银保监会印发的《银行业金融机构数据治理指引》明确提出，银行业金融机构应当建立数据安全策略与标准，依法合规采集、应用数据，依法保护客户隐私，划分数据安全等级，明确访问权限，监控访问行为，完善数据安全技术，定期审计数据安全。

一位业内人士认为，银行数据泄露，要么被脱库（被黑），要么有内鬼。多位业内人士均表示，银行业数据风控标准普遍最高，“不怕黑客，怕内鬼”。

凤凰网财经《银行财眼》记者梳理发现，曾有银行工作人员因泄露客户信息被判刑。2017年3月17日，中国建设银行股份有限公司余姚城建支行行长沈静冲曾将非法获取的余姚市东城名苑业主的财产信息共计1111条通过QQ邮箱非法提供给周某用于招揽业务；同年4月12日，他将该行受理的贷款客户财产信息共计127条提供给周某用于招揽业务。近日，法院宣判沈静冲犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑三年，并处罚金人民币六千元。

世界通信行业巨头威瑞森公司曾在一份报告中指出，近四分之一的数据泄露是由于企业内部人员操作不当或主动泄露造成的。但苏宁金融研究院金融科技研究中心主任孙扬也表示，“在内部员工泄露方面，由于近几年国内监管的严厉管控，银行在个人信息采集、保管和查询等各个环节有着严格记录体系，员工较难窃取大量的客户信息。”

2020年3月6日，中国银保监会办公厅发布的《关于预防银行业保险业从业人员金融违法犯罪的指导意见》中也再次强调“严防信息科技领域违法犯罪行为”，其中提到银行保险机构要“加强对客户信息收集、维护、使用人员的培训管理。在内部产品和业务流程设计上落实客户信息安全控制和风险提示。明确约定涉及客户资料交接的对外合作保密条款，消除信息泄露隐患。严防从业人员利用职权和管理漏洞，篡改后台数据，盗取资金，以及非法复制数据、贩卖客户信息等行为。”