又有銀行客戶信息被非法倒賣!銀行員工以每條80元~110元價(jià)格倒賣客戶信息年入30萬,稱不知違法。
如果說銀行“內(nèi)鬼”盜賣信息是螞蟻搬家,那么更多情況下,大規(guī)模的銀行、金融機(jī)構(gòu)用戶數(shù)據(jù)泄露,可能是來自黑灰產(chǎn)組織的有目的攻擊了。而近兩年多起來的一個(gè)現(xiàn)象是,銀行APP也成為更容易被黑客“攻破”的突破口、非法盜取或入侵銀行賬戶信息牟利。
銀行員工“螞蟻搬家”盜賣客戶信息
江蘇電視臺公共新聞?lì)l道報(bào)道稱,近日,淮安警方破獲了一起特大販賣公民個(gè)人信息案,共抓獲26名嫌疑人,涉案金額2000多萬元。
淮安警方稱,犯罪團(tuán)伙通過現(xiàn)有的技術(shù)手段無法獲取到如此大規(guī)模的公民個(gè)人信息,這些案件就可能有銀行內(nèi)部的工作人員參與其中。調(diào)查中發(fā)現(xiàn),果然有一名銀行工作人員丁某僅靠幫忙查詢銀行卡信息,一年黑色收入超30萬元。
丁某稱,自己查詢了大幾百條或者一千條個(gè)人信息,每條80到110元,稱自己不知道這是違法的,“只是覺得違反銀行規(guī)定,因?yàn)槲覀冦y行不允許私自把客戶信息泄露。”
梳理中國裁判文書網(wǎng)不難發(fā)現(xiàn),銀行員工因?yàn)樨溬u客戶信息而觸犯刑法,并以“侵犯公民個(gè)人信息罪”獲刑的案例并不少見。
裁判文書網(wǎng)顯示,今年3月底,位于浙江省余姚市的建設(shè)銀行(港股00939)余姚城建支行原行長沈某沖,因犯侵犯公民個(gè)人信息罪被判處有期徒刑3年,緩刑3年,并處罰金人民幣6000元。
沈某沖出生于1973年,現(xiàn)年47歲,案件經(jīng)審理查明,2017年3月17日,沈某沖將余姚市東城名苑業(yè)主的財(cái)產(chǎn)信息共計(jì)1111條,通過QQ郵箱非法提供給周某用于招攬業(yè)務(wù)。同年4月20日,沈某沖又將銀行貸款客戶財(cái)產(chǎn)信息共計(jì)127條,提供給周某用于招攬業(yè)務(wù)。2018年8月15日,沈某沖主動向公安機(jī)關(guān)投案,并如實(shí)供述了上述犯罪事實(shí)。
山東省鄒城市人民法院一份刑事判決書顯示,2018年5月份期間,浦發(fā)銀行電銷中心任業(yè)務(wù)主管楊某,通過在休假前把保存在電腦的客戶數(shù)據(jù)(姓名、電話號碼等)用手機(jī)拍了照片,之后保存在自己的電腦里的方式,利用工作便利獲取客戶個(gè)人信息20余萬條,并非法提供給山東星耀君程電子商務(wù)有限公司用于電話營銷;同時(shí),這家電商公司員工李某在對這些信息資料進(jìn)行加工整理后,又以每條0.3元的價(jià)格對外售賣給第三人李某洪,后者再將這些個(gè)人信息販賣給陳某實(shí)施電話詐騙。
“對于銀行本身而言,客戶隱私信息及賬戶資源是極具商業(yè)價(jià)值的,所以銀行對應(yīng)著在合規(guī)上有著嚴(yán)格的流程規(guī)范約束,但不排除銀行個(gè)別員工,通過螞蟻搬家的方式獲取這些信息,再用于個(gè)人牟利。”華北一家反欺詐科技公司高級經(jīng)理告訴記者。
警惕黑灰產(chǎn)組織的系統(tǒng)性攻擊
如果說銀行“內(nèi)鬼”盜賣信息是螞蟻搬家,那么更多情況下,大規(guī)模的銀行、金融機(jī)構(gòu)用戶數(shù)據(jù)泄露,可能是來自黑灰產(chǎn)組織的有目的攻擊了。
“更多的是一些三方和黑產(chǎn)組織有目的地去攻擊,有一些系統(tǒng)和平臺也會存在漏洞。”上述華北某公司技術(shù)專家告訴記者。
今年4月14日,公安部公布10起侵犯公民個(gè)人信息違法犯罪典型案件,其中就有兩例,是技術(shù)“黑客”非法盜取信息售賣。
2019年10月,江蘇省南通市公安局網(wǎng)安部門工作發(fā)現(xiàn),網(wǎng)民“wolinxuwei”多次在“暗網(wǎng)”交易平臺出售銀行開戶、手機(jī)注冊等公民個(gè)人信息,數(shù)量高達(dá)500余萬條。經(jīng)偵查,公安機(jī)關(guān)查明,“wolinxuwei”真實(shí)身份為林某。2019年初,林某在“telegram”群組結(jié)識某公司安全工程師賀某,林某以40萬的價(jià)格從賀某處購得銀行開戶、手機(jī)卡注冊等各類公民信息350余萬條,并通過“暗網(wǎng)”銷售給經(jīng)營期貨交易平臺、推銷POS機(jī)的費(fèi)某、王某等人,非法牟利70余萬元。
2019年6月,北京市公安局網(wǎng)安部門工作發(fā)現(xiàn),網(wǎng)民“yuhong”在“暗網(wǎng)”販賣國內(nèi)某銀行6.02萬條用戶個(gè)人信息。北京市公安局網(wǎng)安部門縝密偵查,鎖定犯罪嫌疑人高某。7月24日,北京公安機(jī)關(guān)將高某抓獲歸案。經(jīng)審查,高某交代其利用網(wǎng)站漏洞非法竊取了某銀行等單位網(wǎng)站上存儲的公民個(gè)人信息,截至被抓獲,非法牟利3萬余元。
騰訊安全數(shù)據(jù)安全團(tuán)隊(duì)負(fù)責(zé)人彭思翔在接受記者采訪時(shí)指出,“從宏觀看銀行業(yè)存儲了大量用戶敏感信息,信息又全又準(zhǔn)確,是黑產(chǎn)重點(diǎn)攻擊的目標(biāo)。具體來看,外部攻擊方面各銀行為自身發(fā)展,開展了大量業(yè)務(wù)應(yīng)用,且更新速度快,所以攻擊面很大,攻擊窗口較多,很難做到滴水不漏的防護(hù);內(nèi)部治理方面,部分銀行權(quán)限管控粗放,脫敏機(jī)制不完善,導(dǎo)致不必要人員可以接觸大量敏感信息,有誤操作或?yàn)榻?jīng)濟(jì)利益販賣信息的情況。”
在他看來,銀行信息泄露可能發(fā)生在以下幾個(gè)場景:
1.外包管理領(lǐng)域,特別是對外包研發(fā)、測試的管理不當(dāng)。生產(chǎn)環(huán)境暴露、數(shù)據(jù)庫過度授權(quán),都會引起數(shù)據(jù)泄露。
2.信息科技運(yùn)行領(lǐng)域,訪問控制策略不當(dāng),包括物理訪問、主機(jī)訪問、終端訪問、遠(yuǎn)程vpn訪問。如果沒有建立統(tǒng)一的、恰當(dāng)?shù)脑L問策略,會導(dǎo)致數(shù)據(jù)泄漏。
3.開發(fā)、測試和維護(hù)領(lǐng)域,若三個(gè)環(huán)境未分離,分離后生產(chǎn)數(shù)據(jù)使用未脫敏,都會導(dǎo)致數(shù)據(jù)泄漏。
4.信息安全領(lǐng)域,系統(tǒng)漏洞未及時(shí)修復(fù)、未開展代碼審計(jì)等等都會導(dǎo)致系統(tǒng)被攻陷,數(shù)據(jù)被脫庫。
個(gè)人金融隱私保護(hù)新挑戰(zhàn):APP端泄露
而近來裁判文書網(wǎng)披露的多起案件顯示,銀行APP也成為更容易被黑客“攻破”的突破口、非法盜取或入侵銀行賬戶信息牟利。
2019年12月24日,浙江金華市婺城區(qū)人民法院對一起非法注冊銀行賬戶并出售獲利的案件做出了判決。判處兩名主犯有期徒刑4年3個(gè)月,并處罰金7萬元;判處7名從犯有期徒刑1年6個(gè)月至2年3個(gè)月不等,并處罰金兩萬至四萬不等。
判決書顯示,短短的兩個(gè)月,9名團(tuán)伙利用“利用APP漏洞和使用抓包軟件”,開設(shè)了10000余個(gè)銀行三類賬戶,涉及華潤銀行、溫州民商銀行、金華銀行、浦發(fā)銀行、中國銀行(港股03988)、招商銀行(港股03968)、建設(shè)銀行等多家銀行。
2019年10月,只有初中文化的00后田某被福建省廈門市思明區(qū)人民法院以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪判處有期徒刑三年,并處罰金人民幣一萬元。判決文書顯示,田某在2019年1月5日至1月15日期間,通過軟件抓包、PS身份證等非法手段,在廈門銀行手機(jī)銀行APP內(nèi)使用虛假身份信息注冊銀行Ⅱ、Ⅲ類賬戶,非法銷售獲利。
在作案方法上,他們利用了類似的APP技術(shù)漏洞,跳過了銀行開戶所必須的“四要素”(即驗(yàn)證開戶人姓名、手機(jī)號碼、身份證號碼以及綁定賬戶賬號或卡號)驗(yàn)證。
具體來看,先輸入本人身份信息,待進(jìn)行人臉識別步驟時(shí),利用軟件抓包技術(shù)將銀行系統(tǒng)下發(fā)的人臉識別身份認(rèn)證數(shù)據(jù)包進(jìn)行攔截并保存。隨后,在輸入開卡密碼步驟,將APP返回到第一步(上傳身份證照片之步驟),輸入偽造的身份信息,并再次進(jìn)入到人臉識別之身份驗(yàn)證步驟,此時(shí),其上傳此前攔截下來的包含其本人身份信息的數(shù)據(jù)包,使系統(tǒng)誤以為要比對其本人的身份信息,最終完成開戶。
“你的信息被泄露,可能都是你絕對想不到的地方。”一位銀行智能風(fēng)控業(yè)務(wù)負(fù)責(zé)人向記者分享,移動互聯(lián)網(wǎng)繁榮后,引流、導(dǎo)流流行,但用戶信息泄露的平臺往往可能不是金融機(jī)構(gòu)、大的流量公司或者平臺,反而極有可能是發(fā)生在房產(chǎn)中介APP、手游APP的注冊、充值、交易過程中。
中國信息通信研究院發(fā)布的《2019金融行業(yè)移動APP安全觀測報(bào)告》顯示,在對133327款金融行業(yè)APP進(jìn)行掃描檢測后發(fā)現(xiàn),73.23%存在不同程度的安全漏洞,70.22%存在高危漏洞。平均每款金融行業(yè)APP存在20.3個(gè)安全漏洞,其中6.7個(gè)為高危漏洞。不過,移動金融APP信息安全保護(hù)也引起的監(jiān)管的重視,去年以來,多個(gè) 監(jiān)管部門數(shù)次公開點(diǎn)名批評百余款應(yīng)用軟件及其運(yùn)營企業(yè),涉及未經(jīng)用戶同意超范圍及非必要使用個(gè)人信息等違規(guī)情形;去年5月份到8月份,監(jiān)管部門密集出臺了關(guān)于數(shù)據(jù)安全管理辦法、APP違規(guī)收集使用個(gè)人信息行為認(rèn)定方法等多項(xiàng)征求意見稿及草案。
猜你喜歡
廣東省推出第二批5項(xiàng)青年民 
德國物價(jià)創(chuàng)近三十年新高 通 
網(wǎng)聯(lián)平臺:春節(jié)假期前5天處 
個(gè)人養(yǎng)老金制度加速崛起 金 
安徽省新增上市公司數(shù)創(chuàng)歷史 
寧波銀行申請?jiān)钪嫔虡?biāo) 是 
建設(shè)初心不動搖——圣軒草業(yè) 
女車主通過"團(tuán)團(tuán)車行"賣車遇 
