近日����,涉及國內多家銀行數百萬條客戶數據資料�����、在暗網被標價兜售的消息廣為流傳����。
盡管涉事各家銀行進行數據比對核查之后,均否認了被兜售的數據資料包真實性�����。但是�����,牽涉面甚廣的龐大的金融數據��,尤其是銀行用戶涉敏信息的如何保障安全性���,仍持續(xù)在行業(yè)引發(fā)關注�����、研討����。
尤其是����,伴隨銀行線下業(yè)務線上化、與流量方邊界日益拓寬等新變化,泄密在前端�����、在外包管理領域��,也給銀行數據安全管理帶來新挑戰(zhàn)�。截至2019年底,我國開立銀行賬戶113.52億戶�����、全國人均擁有銀行賬戶數達8.09戶��,這些賬戶安全誰來守護��?
這次疑涉百萬條客戶數據被盜賣的消息���,神秘交易地“暗網”浮出水面�����,再次讓更多人關注起這個通過特殊技術手段才可登入的秘境�����。
而更多人不知道的是�,“你看到的只是冰山一角����,暗網交易的信息非常非常多,金融相關信息可以占到7成以上��。”通過連日多方采訪�,券商中國記者試圖還原一組金融數據是如何被盜取、流入暗網��、被誰交易售出���、由誰流出市場的暗網鏈條���。
百萬條用戶資料被“白菜價”非法甩賣?銀行:與真實數據不符
涉及國內多家銀行數百萬條客戶數據資料,在暗網被標價兜售����,連日來引發(fā)行業(yè)廣泛關注。4月15日���,一位金融安全技術人士向券商中國記者證實了在暗網看到該條盜賣信息�。
從數據安全人士此前發(fā)布的相關截圖來看:被售賣信息里包含了大規(guī)模的金融機構客戶數據泄露,其中涉及上海銀行80.3155萬條��、浦發(fā)銀行10萬條����、招商銀行上海分行6.3萬條、中國農業(yè)銀行90萬條���、興業(yè)銀行46萬條客戶資料����,其中既有儲蓄賬戶�、也有信用卡賬戶及私行理財賬戶,含客戶姓名�����、客戶類型��、性別年齡��、手機號碼�����、開戶賬號、住址郵編�、存款數據等信息。
此外�,還包括經過初步分類的20萬條企業(yè)代表資料,包含公司名稱���、注冊資本、企業(yè)經營范圍等�。需指出的是,該部分信息多為公開可獲取信息����。
“46萬條銀行信用卡客戶數據標價不到100美元,90萬條數據標價只賣3999美元(折合人民幣約2.8萬元)��,簡直是‘白菜價’;如果是真實數據�����,這么龐大的數據量實際售價至少10倍以上�����。”一位大數據行業(yè)風控總監(jiān)向券商中國記者評價�����,盡管截圖顯示的樣例數據非常詳盡,但這么大的數據量價格卻低得離譜�,盜賣數據是不是真的、可信度要打個問號���。
為了核實上述情況�,記者也第一時間聯系了涉事銀行�����,各家銀行相對一致態(tài)度是:經過核查比對�����,與真實數據信息不符;不排除不法分子將不明來源數據冠以金融機構名義兜售��,以牟取非法利益�����。
興業(yè)銀行相關負責人回復���,“所謂的‘興業(yè)銀行信用卡客戶信息’與我行真實的客戶信息要素并不吻合����,不排除系不法分子偽造、售賣所謂銀行客戶信息牟取不當利益�����。”
招商銀行方面人士告訴記者��,“經比對相關數據��,與我行真實客戶信息并不吻合�����,網絡上的信息不屬實�����。我行譴責任何偽造并販賣公民信息的犯罪行為���,并保留追究損害我行聲譽法律責任的權利。”
浦發(fā)銀行方面回應稱��,“經排查比對��,相關數據無我行賬戶信息,且與我行客戶信息要素不符���。”
上海銀行相關人士回應記者稱�,“進行了詳細比對���,發(fā)現其所謂客戶信息中并無我行銀行賬戶信息����,且與我行真實客戶信息關鍵要素并不匹配�。可認定該販賣信息非我行泄露數據���,不排除系不法分子為牟取不當利益?zhèn)卧?����、拼湊�、出售所謂銀行的客戶信息�。”
全國開立銀行賬戶達113.5億誰在守護安全?
百萬條被兜售的數據資料包盡管真實性被駁,但龐大的金融數據尤其是銀行用戶涉敏信息的安全性如何保障?已足夠引起行業(yè)及監(jiān)管對金融數據安全的重視����。
央行統計顯示�����,銀行賬戶數量穩(wěn)步增長���,截至2019年末,全國共開立銀行賬戶113.52億戶����、同比增長12.07%,其中����,全國開立單位銀行賬戶6836.87萬戶�、同比增長11.73%,個人銀行賬戶112.84億戶����,同比增長12.07%,全國人均擁有銀行賬戶數達8.09戶�����。
為業(yè)界所公認的是���,金融行業(yè)尤其是銀行業(yè)是風控建設最好的行業(yè)����,其中信息科技領域的風控建設和落地水平遠高于其他行業(yè)。依據銀保監(jiān)會“商業(yè)銀行信息科技風險管理指引”�,銀行業(yè)有嚴格的風控建設體系和風控監(jiān)督體系,有嚴謹的風險控制點的識別��、評價���、處置����、跟蹤機制�。
“銀行業(yè)信息科技風控要求較高,需要符合國內外風控管理要求�,包括商業(yè)銀行信息科技風險管理指引、巴薩爾協議����、塞班斯法案等。”騰訊安全數據安全團隊負責人彭思翔告訴記者�����。
杭州某大型技術公司金融事業(yè)部總經理曾負責過銀行物聯網解決方案,涉及到數據服務采集業(yè)務�����,他向記者舉例�,“設備采集的信息一般會保存在當地銀行機構,在信息保存��、傳輸安全性方面��,一方面是��,銀行本身設有專網�����,內網�����、外網隔開���,還有硬件設施方面的防火墻設置防護;另一方面,各家銀行內部有各個層級對安全認證的嚴格復核管理。”
“銀行的IT系統不具備大規(guī)模向外泄露數據的可能性�����。”一家股份行風險管理部門總監(jiān)向券商中國記者分析�����,“按銀保監(jiān)會的相關規(guī)定����,銀行業(yè)IT系統基本分為:生產域、測試域�����、互聯網域等���,其中���,三個域之間的數據傳輸收到嚴格限制。只有在生產域才能看到數據的全貌���,測試域只有用于測試的數據���,有數據量和脫敏的相關要求���,互聯網域基本沒有客戶信息。從技術上�、系統上,大規(guī)模數據外泄講不通�。”
DataVisor黑產研究專家、高級技術經理周君楨的看法類似�����,金融機構尤其是銀行的安全風險等級最為嚴格�����,一方面是監(jiān)管要求高�、管理嚴;另一方面是業(yè)務屬性決定,對于銀行來說�����,客戶賬戶信息是核心商業(yè)價值要素之一�����,銀行會投入大量人力��、物力做相關保障��,大中型銀行也具備強大技術團隊和實力���。
流量經濟爆發(fā)的安全新挑戰(zhàn):泄密在前端
從近期發(fā)布的國有六大行年報來看��,其中有四家2019年科技投入總金額突破百億元���,最高的建設銀行投入176.33億元;截至2019年末,工商銀行金融科技人員規(guī)模多達3.48萬名�、在全員占比高達7.82%,其次是建設銀行����、交通銀行、中國銀行���、農業(yè)銀行金融科技人員占比分別為2.75%��、4.05%����、2.58%、1.58%���。
銀行加大科技投入�����、科技人員擴容規(guī)?�?涨?��。然而,銀行數據涉密各個環(huán)節(jié)���,盡管被最高等級的風險防護���,仍難有萬全之說。
首先是不同金融機構之間���、金融機構內部之間的安全能力有差異�����。“大中型的金融機構風險等級高��,但是一些分支機構風險能力就較弱���,可能賬戶密碼保護不嚴密。一些地下灰黑產業(yè)����,就會有組織、有目的性地去攻擊�����,抓住一些系統平臺存在的漏洞�����。”周君楨介紹���。
“銀行的風控水平并不是一碗水端平����。”上述股份行智能風控中心總監(jiān)直言���,“有的銀行風控水平高�����、有的銀行風控水平低�����,實力強的銀行所有的模型都是行內專業(yè)人員建模;但是對于部分地方偏遠地區(qū)的銀行等�����,缺乏高端數據專業(yè)人才���,只能通過外包方式去建模型�����。甚至部分不具備技術能力的銀行直接拿過來就用一些第三方公司流量數據����,這些數據包括身份認證三要素和部分行為特征����,但是往往這類數據可能在使用前已經可能被泄密了。”
“泄密環(huán)節(jié)出在前端。”——在數位金融機構風控資深從業(yè)人士看來��,這是伴隨著近幾年的銀行線下業(yè)務線上化�����,在風險防控上一個更應該引起行業(yè)注意的新變化����。
在彭思翔看來�,銀行數據泄露可能發(fā)生的場景,除了信息科技運行領域訪問控制策略不當��,開發(fā)���、測試和維護領域三個環(huán)節(jié)未分離或分離后數據未脫敏����,以及信息安全領域系統漏洞之外���,其中一個重要的方面就發(fā)生在“外包管理領域”���,“特別是對外包研發(fā)、測試的管理不當����。生產環(huán)境暴露�����、數據庫過度授權����,都會引起數據泄露�����。”
“因為行業(yè)業(yè)務屬性不同����,銀行的IT系統和互聯網公司之間,往往有代際差異�。”該股份行智能風控中心總監(jiān)向記者舉例。“比如面對一個互聯網流量平臺采用流量分發(fā)模型��,100萬客戶分發(fā)給數十家不同的銀行�����,與之相應的,銀行與之對接的是流量準入模型;很天然地�����,這兩個模型之間是對抗關系����,準入模型希望準入更多,而分發(fā)模型希望篩掉更多;在現實情況中����,相比互聯網公司�����,銀行IT系統靈活度�、可使用工具、覆蓋的行為數據數等�����,都處于相對劣勢�。”
“今后銀行數據風控管理必將趨嚴”
“為促進金融行業(yè)健康發(fā)展與風險控制,監(jiān)管層已經通過發(fā)布監(jiān)管指引并將數據治理與監(jiān)管評級掛鉤的方式�,來提高銀行業(yè)對數據治理工作的重視,不管有沒有出現這次的事件,銀行今后數據風控管理上必將是趨嚴的�。”數位銀行業(yè)內人士均認為,盡管這次盜賣數據真實性存疑��,但它后續(xù)仍然會也業(yè)務層面產生影響��。
2018年5月����,銀保監(jiān)會發(fā)布《銀行業(yè)金融機構數據治理指引》,旨在引導銀行業(yè)金融機構加強數據治理�。去年12月,金融業(yè)移動金融APP備案首批試點開啟����,首批23家試點備案名單中就有16家銀行,含5家國有大行����、5家股份行、3家城商行���、2家農商行����、1家農信聯社,涉及提升安全防護����、加強個人金融信息保護、提高風險監(jiān)測能力���、健全投訴處理機制����、強化行業(yè)自律5個方面�����,并劃定了涉及個人金融信息采集���、使用、留存等方面四大紅線����。
事實上,銀行數據管理趨嚴背后���,是國家層面對個人信息數據管理工作地系統性出擊����。去年下半年,工信部等數次公開點名批評百余款應用軟件及其運營企業(yè)�����,涉及未經用戶同意超范圍及非必要使用個人信息等違規(guī)情形����。
券商中國記者注意到,去年5月份到8月份�,監(jiān)管部門密集出臺了關于數據安全管理辦法、APP違規(guī)收集使用個人信息行為認定方法等多項征求意見稿及草案����。這也和上述數位銀行業(yè)人士的判斷類似,當前央行對銀行數據治理指引已經非常詳盡�,未來的變化更多出現在相關立法層面。
“在數據確權���、數據治理上���,中國有著絕對的優(yōu)勢,將是一個世界性的數據資產大國���。”京東數科數字技術中心數據資產部總經理張旭認為��,數據資產是銀行的核心資產��,是政府安保數據之外最值得信賴的數據��,但數據向前發(fā)展必然面臨著確權�,以及海量數據在手之后如何通過人工智能等新技術做深度挖掘、開發(fā)應用����。
“從大環(huán)境的導向來看,為業(yè)內普遍認同的是�,監(jiān)管曾仍然鼓勵在合規(guī)前提下推動金融機構數據高質量發(fā)展,比如與各類政務數據互聯互通�,建立跨區(qū)域的數據融合應用等。”蘇寧金融研究院院長助理薛洪言接受券商中國記者采訪時稱�����。
龐大數據黑色交易網:金融相關占比7成以上
“暗網售賣數據是有組織嚴密的產業(yè)鏈���,竊取售賣數據是黑產中隱藏最深的、歷史最悠久的����、最成熟的變現方式����。”騰訊安全數據安全團隊負責人彭思翔直言��。
2018年被業(yè)內認為是數據保護的元年��,卻也是數據泄露的灰色之年����。當年3月,Facebook被曝8700多萬條用戶數據泄露�����、遭遇其有史以來最大型數據泄露危機���。而在國內�,2018年初有國內某評價連鎖酒店傳出涉及5億條顧客隱私數據在暗網販賣;今年3月��,國內某APP發(fā)生信息泄露�,在暗網上被以“5.38億用戶綁定手機號數據,其中1.72億有賬號基本信息”的名義進行售賣�����。
近年來頻繁爆發(fā)重大企業(yè)信息資料或用戶數據泄漏事件,讓暗網這個“地下黑市”逐漸被社會所認知�����。
“暗網�,可以簡單理解為互聯網的一個地址,有一定技術手段都可以訪問�。最大特性是匿名平臺,很難追溯��,匿名傳輸��,匿名貨幣交易�����。”周君楨告訴記者�����,“市場規(guī)模很難統計��,你看到的只是冰山一角�,暗網交易的信息非常非常多。”
“金融相關的數據情報數據占到7成以上����,尤其涉及金融屬性的個人隱私信息,如金融開戶信息���,信用卡等����,國內國外同樣如此���。”
而他注意到一個明顯的變化是����,從2018年以來��,隨著傳統金融數字化轉型的加速�,銀行、證券��、保險尤其是互聯網金融等類型金融數據明顯增多���,諸多信息經常在暗網上被倒賣�����,
騰訊安全報告從2018年暗網數據交易的情況(抽樣數據)來看�����,帳號/郵箱類數據��、個人信息�����、網購/物流數據����、銀行數據、網貸數據位列前五���,分別占比為19.78%���、12.19%、9.69%�、9.02%和8.3%,其它還有博彩數據、股市數據�����、企業(yè)工商數據等信息�。
2018年暗網交易數據分布占比情況
來源:騰訊安全
彭思翔介紹��,黑產者盜取數據的具體手段包括技術入侵�、社會工程學及APT攻擊,也形成了脫����、洗、撞三步循環(huán)的模式��,“脫庫是指入侵有價值的企業(yè)�,把數據庫全部盜走;洗庫指對數據初步清洗,拿到其中最有價值的數據去變現;撞庫指清洗后發(fā)現可以繼續(xù)利用的數據����,會到別的應用、企業(yè)繼續(xù)嘗試滲透脫庫���,形成循環(huán)操作模式����,一個企業(yè)或者一個行業(yè)的數據將全部被獲取。”
比如����,銀行業(yè)里儲存了大量用戶敏感信息且又全又準確,而銀行開展了大量業(yè)務應用�����、更新速度快��,這又帶來攻擊面大�����、窗口多��,但銀行又很難做到滴水不漏的防護���,“這就會成為黑產重點攻擊的目標����。”
由誰賣出�、被誰買入
不少人有類似的經歷:在某銀行剛辦理按揭貸款�,隨后不斷收到各類第三方平臺的信貸類��、消費類營銷電話和短信�����。
“這是典型的個人信息泄露的情況���,比如房貸辦理需書面填寫較多個人信息,不排除有機構人員或信息接觸者將信息留存在轉手倒賣��,比如一些信息中介或金融代理機構��,聯合第三方營銷推廣平臺的慣用操作手法����。”周君楨解釋,“不過���,相比這類信息泄露��,暗網更多是有組織����、有目標的盜取、買賣�����。”
“早期一般一個團隊或者單人來完成��,但是目前已經完全產業(yè)化�����、專業(yè)化��,固定的團隊進行脫庫�,再賣給洗庫團隊,再賣給撞庫團隊��,互不干涉�����,通過虛擬化貨幣交割�,追查極其困難。”彭思翔告訴記者���,“絕大部分被盜數據不會公開出來�����,而是進入到秘密交易環(huán)節(jié)��,作用在特定的場景中�����,如競爭對手戰(zhàn)略分析����、同業(yè)用戶爭奪、上下游業(yè)務定推等�,此類秘密交易也可稱為定制化數據交易�,特點是數據只賣一次或在某個時間窗口禁售,而公開在暗網交易的數據是多次多家進行販售��。”
而在買方上���,“更多不是在個人論壇賣�,往往是賣給專業(yè)信息商或數據商���,后者對數據加工�����、匹配�、拼接,數據完整性會更好��,層層轉包�、價值會更高。”周君楨介紹����,通過數據加工完善,信息精準度明顯提高�����,國內的電信詐騙�����、國外的信用卡盜刷往往由此��。
另一特征是其全球化趨勢��,全球都存在數據黑產�����,且成為數據跨境非法流動的主要渠道。“如非洲國家的個人信息�����,被不法代理用于亞馬遜用戶注冊�����,進行欺詐和作弊行為���。”彭思翔介紹����,黑客會把數據進行整理并相互交流�����、形成黑產的大數據服務商�,具體來講就是社工庫��,在利益的驅使下��,黑產向大數據服務和基礎設施建設等大規(guī)模、高技術發(fā)展��,這也給數據安全的治理加大了挑戰(zhàn)難度���。
三大變現途徑:精準詐騙�����、撞庫攻擊��、撒網式詐騙
截至2019年末�,中國網民數達8.29億�����,手機網民規(guī)模達到8.17億�����,在網民總數中的占比提升至98.6%;數字經濟滲透在社會生活方方面面���,個人的數據軌跡也無處不在�����。
暗流涌動的黑市交易侵蝕著用戶隱私����,而被盜取販賣隱私數據在直接變現以外,黑產從業(yè)者往往還會被利用購得數據進行精準詐騙等犯罪行為���,進一步損害個人權益�。
騰訊安全報告統計�����,信息泄露催生三大變現途徑:精準詐騙���、撞庫攻擊以及撒網式詐騙���。
一個寫在騰訊安全報告的案例是,網購用戶買完東西后�,收到熱心“客服”的電話,“客服”以質量問題����、物流問題等事由,發(fā)送一個退款網頁鏈接或二維碼���,用戶按照提示操作即可退還高于購物款的退款或退款保證金����,之后“客服”會進一步引導用戶把多收到的錢退還給網店�。
而很多人不知道的是,這是詐騙者通過暗網等獲得網購用戶詳細信息后進行的針對性電信詐騙��。用戶收到的款項其實是一些正規(guī)的貸款平臺的快速貸款�,詐騙者利用網銀或第三方支付平臺上快速授信貸款等服務,誤導用戶從貸款平臺貸款����、然后將“多余”的款項打回詐騙者的網絡帳戶。
“購物退款”詐騙作案流程示意��,來自騰訊安全報告
騰訊安全報告指出�,包括“購物退款”、冒充“公檢法”����、“發(fā)放助學金”、“航班取消”��、“二胎生育退費”、“交通違章提醒”�、“積分兌換現金”等精準詐騙行為,均是詐騙者基于個人信息特點精心設計的具有針對性的詐騙劇本���。
此外���,近四年來,撞庫攻擊催化信息泄露在全球呈裂變式增長���,這種惡意登陸更多是撞庫和掃號的攻擊�����。“從個人角度�����,需要提高防護意識�����,從業(yè)務必要性的角度看是否給出授權信息;個人在使用金融賬戶時�����,建議不同賬戶使用不同密碼��,避免被有的技術公司利用信息進行撞庫��,帶來資料泄露風險�。”周君楨說��。
彭思翔也建議����,個人密碼定期更換、一個密碼最長使用時間不超過6個月;加密自己的終端設備����,包括電腦、手機����、硬盤;仔細查看服務提供商的隱私協議,對不合理條款提出質疑����。
“當前一些高端的數據盜竊團伙不會再接一般的數據定制需求,而是專注在變現能力更強的金融詐騙���。”彭思翔告訴券商中國記者�,隨著越來越多的終端支付和豐富的網絡電商活動,涉金融的數據安全管理形勢并不樂觀����,也因此這也成為當前多國關注和管控的重點。
[責任編輯:h001]
