快捷导航 
时间:2020-05-20 14:14:37来源:融易新媒体
原标题:兜售客户信息年入30万 银行职员竟称“不知违法”!比内鬼更可怕的是 黑灰产系统性攻击
又有银行客户信息被不法倒卖!银行员工以每条80元~110元价格倒卖客户信息年入30万,称不知违法。
如果说银行“内鬼”盗卖信息是蚂蚁搬家,那么更多情况下,大规模的银行、金融机构用户数据泄露,可能是来自黑灰产组织的有目的攻击了。而近两年多起来的一个现象是,银行APP也成为更容易被黑客“攻破”的突破口、不法盗取或入侵银行账户信息牟利。
银行员工“蚂蚁搬家”盗卖客户信息
江苏电视台公共新闻频道报道称,近日,淮安警方破获了一起特大贩卖公民个人信息案,共抓获26名嫌疑人,涉案金额2000多万元。
淮安警方称,犯罪团伙通过现有的技术手段无法获取到如此大规模的公民个人信息,这些案件就可能有银行内部的工作人员参与其中。调查中发现,果然有一名银行工作人员丁某仅靠帮忙查询银行卡信息,一年黑色收入超30万元。
丁某称,自己查询了大几百条或者一千条个人信息,每条80到110元,称自己不知道这是违法的,“只是觉得违反银行规定,因为我们银行不允许私自把客户信息泄露。”
梳理中国裁判文书网不难发现,银行员工因为贩卖客户信息而触犯刑法,并以“侵犯公民个人信息罪”获刑的案例并不少见。
裁判文书网显示,今年3月底,位于浙江省余姚市的建设银行(港股00939)余姚城建支行原行长沈某冲,因犯侵犯公民个人信息罪被判处有期徒刑3年,缓刑3年,并处罚金人民币6000元。
沈某冲出生于1973年,现年47岁,案件经审理查明,2017年3月17日,沈某冲将余姚市东城名苑业主的财产信息共计1111条,通过QQ邮箱不法提供给周某用于招揽业务。同年4月20日,沈某冲又将银行贷款客户财产信息共计127条,提供给周某用于招揽业务。2018年8月15日,沈某冲主动向公安机关投案,并如实供述了上述犯罪事实。
山东省邹城市人民法院一份刑事判决书显示,2018年5月份期间,浦发银行电销中心任业务主管杨某,通过在休假前把保存在电脑的客户数据(姓名、电话号码等)用手机拍了照片,之后保存在自己的电脑里的方式,利用工作便利获取客户个人信息20余万条,并不法提供给山东星耀君程电子商务有限公司用于电话营销;同时,这家电商公司员工李某在对这些信息资料进行加工整理后,又以每条0.3元的价格对外售卖给第三人李某洪,后者再将这些个人信息贩卖给陈某实施电话诈骗。
“对于银行本身而言,客户隐私信息及账户资源是极具商业价值的,所以银行对应着在合规上有着严格的流程规范约束,但不排除银行个别员工,通过蚂蚁搬家的方式获取这些信息,再用于个人牟利。”华北一家反欺诈科技公司高级经理告诉记者。
警惕黑灰产组织的系统性攻击
如果说银行“内鬼”盗卖信息是蚂蚁搬家,那么更多情况下,大规模的银行、金融机构用户数据泄露,可能是来自黑灰产组织的有目的攻击了。
“更多的是一些三方和黑产组织有目的地去攻击,有一些系统和平台也会存在漏洞。”上述华北某公司技术专家告诉记者。
今年4月14日,公安部公布10起侵犯公民个人信息违法犯罪典型案件,其中就有两例,是技术“黑客”不法盗取信息售卖。
2019年10月,江苏省南通市公安局网安部门工作发现,网民“wolinxuwei”多次在“暗网”交易平台出售银行开户、手机注册等公民个人信息,数量高达500余万条。经侦查,公安机关查明,“wolinxuwei”真实身份为林某。2019年初,林某在“telegram”群组结识某公司安全工程师贺某,林某以40万的价格从贺某处购得银行开户、手机卡注册等各类公民信息350余万条,并通过“暗网”销售给经营期货交易平台、推销POS机的费某、王某等人,不法牟利70余万元。
2019年6月,北京市公安局网安部门工作发现,网民“yuhong”在“暗网”贩卖国内某银行6.02万条用户个人信息。北京市公安局网安部门缜密侦查,锁定犯罪嫌疑人高某。7月24日,北京公安机关将高某抓获归案。经审查,高某交代其利用网站漏洞不法窃取了某银行等单位网站上存储的公民个人信息,截至被抓获,不法牟利3万余元。
腾讯安全数据安全团队负责人彭思翔在接受记者采访时指出,“从宏观看银行业存储了大量用户敏感信息,信息又全又准确,是黑产重点攻击的目标。具体来看,融易新媒体,外部攻击方面各银行为自身发展,开展了大量业务应用,且更新速度快,所以攻击面很大,攻击窗口较多,很难做到滴水不漏的防护;内部治理方面,部分银行权限管控粗放,脱敏机制不完善,导致不必要人员可以接触大量敏感信息,有误操作或为经济利益贩卖信息的情况。”
在他看来,银行信息泄露可能发生在以下几个场景:
1.外包管理领域,特别是对外包研发、测试的管理不当。生产环境暴露、数据库过度授权,都会引起数据泄露。
