最信任的银行数据遭暗网贩卖？警钟之下机构如何保护信息安全？

作者/来源：小睿发布时间：2020-04-15

近日，据推特账号@Bank Security发布的消息显示，百万条国内银行的数据正在被售卖。其中包括上海银行80万行客户数据、46万中国兴业银行信用卡资料、20 万上海理财VIP客户数据和10万上海浦发银行客户资料以及10万条平安保险数据等。

信息

由图片可知，被泄露数据包括姓名、地址、电话号码、身份证号、存款金额、所办业务等金融数据。

PII信息

其中一张截图信息引起关注，这是因为被泄露的银行信息中竟然包含了PII信息。PII信息是个人身份信息，包括个人的关键数据，包括姓名、电话、住址、指纹等。PII信息被泄露这表示着不法份子可能会据此发垃圾信息骚扰你，严重的会影响你的个人安全。

泄露信息不属实？

对此，多家机构进行回应称被泄露信息存在伪造等不属实情况。

兴业银行表示网络上的信息不属实。对于不法分子在网上发帖声称可出售所谓的多家银行客户信息数据，该行高度重视，经过深入核查比对，确认其中所谓的兴业银行信用卡客户信息与该行真实的客户信息要素并不吻合，不排除系不法分子伪造、售卖所谓银行客户信息牟取不当利益。

上海银行表示暗网贩卖的客户信息与我行真实客户不匹配，认定该贩卖信息非该行泄露数据，不排除系不法分子为牟取不当利益伪造、拼凑、出售所谓银行的客户信息。

中国平安表示经排查，相关客户信息并非公司客户，系不法分子伪造。

浦发银行表示无法鉴别信息真伪。

银行数据泄露来源

目前，关于金融机构信息泄露有两种可能：数据伪造和数据泄露。

1）数据伪造

数据被伪造这种可能性的确存在。这是因为银行的数据安全要求非常高，比任何一家企业的数据保护力度都强大。此外，在安全等级保护2.0出现后，银行大部分至少是3级要求，甚至部分区域需要等级保护达到4级，所以现在金融机构的安全保护已经相当完善。

2）数据泄露

关于银行等金融机构数据泄露，原因有两大方面：与银行本身有关和来自外部因素。

跟银行本身有关的原因，如有可能是公司技术人员非法拷贝数据库中的数据或业务人员从前台导出。外部原因则包括黑客攻击和第三方机构的泄露。黑客通过撞库、暴库、拖库，窃取互联网服务系统，将数据交叉匹配后整理出银行卡信息。另外，由于许多应用、平台都会在用户注册是要求留下银行卡信息、身份信息、电话号码，信息通过第三方支付机构、电商平台、医疗、教育、房产中介等机构流出的情况也很常见。

据业内人士分析，这次信息泄露有可能又是一起因安全保护措施不当导致的数据库泄露。

机构如何保护用户信息安全？

近两年，数据泄露事件频发，网络信息安全已成为不容忽视的问题。那么，各大机构如何保护个人信息安全？

1）建立完善管理制度

比如建立信息共享规定、信息安全管理规定，内部监督等机制，定期对业务流程管理、风险管控、信息防护技术、客户服务等进行排查。

2）完善安全技术

从安全技术上进行完善，严格用户认证、授权访问，要从安全技术上提升违规行为主动发现能力，发现后有技术即时制止。

3）实行权限管理制度

采取最小原则和动态原则，即对进入系统的人默认实行最小权限，根据需要调整相应权限，有效堵塞信息安全漏洞。

4）进行安全管理意识、合规意识培训

5）签订保密补充协议，签订保密承诺书、责任书

在职员工应当加强培训教育，提高保密意识；离职员工应当严格限制其对涉密文件资料的使用权限，以防客户信息的泄露。