百万条银行客户信息疑被盗卖 黑市“暗网”曝光 谁在买？

　　惊心！百万条银行客户信息疑被盗卖，黑市“暗网”曝光，兜售金融相关数据占比超7成，谁在买入？

　　近日，涉及国内多家银行数百万条客户数据资料、在暗网被标价兜售的消息广为流传。

　　尽管涉事各家银行进行数据比对核查之后，均否认了被兜售的数据资料包真实性。但是，牵涉面甚广的庞大的金融数据，尤其是银行用户涉敏信息的如何保障安全性，仍持续在行业引发关注、研讨。

　　尤其是，伴随银行线下业务线上化、与流量方边界日益拓宽等新变化，泄密在前端、在外包管理领域，也给银行数据安全管理带来新挑战。截至2019年底，我国开立银行账户113.52亿户、全国人均拥有银行账户数达8.09户，这些账户安全谁来守护？

　　这次疑涉百万条客户数据被盗卖的消息，神秘交易地“暗网”浮出水面，再次让更多人关注起这个通过特殊技术手段才可登入的秘境。

　　而更多人不知道的是，“你看到的只是冰山一角，暗网交易的信息非常非常多，金融相关信息可以占到7成以上。”通过连日多方采访，券商中国记者试图还原一组金融数据是如何被盗取、流入暗网、被谁交易售出、由谁流出市场的暗网链条。

　　百万条用户资料被“白菜价”非法甩卖？

　　银行：与真实数据不符

　　涉及国内多家银行数百万条客户数据资料，在暗网被标价兜售，连日来引发行业广泛关注。4月15日，一位金融安全技术人士向券商中国记者证实了在暗网看到该条盗卖信息。

　　从数据安全人士此前发布的相关截图来看：被售卖信息里包含了大规模的金融机构客户数据泄露，其中涉及上海银行80.3155万条、浦发银行10万条、招商银行上海分行6.3万条、中国农业银行90万条、兴业银行46万条客户资料，其中既有储蓄账户、也有信用卡账户及私行理财账户，含客户姓名、客户类型、性别年龄、手机号码、开户账号、住址邮编、存款数据等信息。

　　此外，还包括经过初步分类的20万条企业代表资料，包含公司名称、注册资本、企业经营范围等。需指出的是，该部分信息多为公开可获取信息。

　　“46万条银行信用卡客户数据标价不到100美元，90万条数据标价只卖3999美元(折合人民币约2.8万元)，简直是‘白菜价’；如果是真实数据，这么庞大的数据量实际售价至少10倍以上。”一位大数据行业风控总监向券商中国记者评价，尽管截图显示的样例数据非常详尽，但这么大的数据量价格却低得离谱，盗卖数据是不是真的、可信度要打个问号。

　　为了核实上述情况，记者也第一时间联系了涉事银行，各家银行相对一致态度是：经过核查比对，与真实数据信息不符；不排除不法分子将不明来源数据冠以金融机构名义兜售，以牟取非法利益。

　　兴业银行相关负责人回复，“所谓的‘兴业银行信用卡客户信息’与我行真实的客户信息要素并不吻合，不排除系不法分子伪造、售卖所谓银行客户信息牟取不当利益。”

　　招商银行方面人士告诉记者，“经比对相关数据，与我行真实客户信息并不吻合，网络上的信息不属实。我行谴责任何伪造并贩卖公民信息的犯罪行为，并保留追究损害我行声誉法律责任的权利。”

　　浦发银行方面回应称，“经排查比对，相关数据无我行账户信息，且与我行客户信息要素不符。”

　　上海银行相关人士回应记者称，“进行了详细比对，发现其所谓客户信息中并无我行银行账户信息，且与我行真实客户信息关键要素并不匹配。可认定该贩卖信息非我行泄露数据，不排除系不法分子为牟取不当利益伪造、拼凑、出售所谓银行的客户信息。”

　　全国开立银行账户达113.5亿

　　谁在守护安全？

　　百万条被兜售的数据资料包尽管真实性被驳，但庞大的金融数据尤其是银行用户涉敏信息的安全性如何保障？已足够引起行业及监管对金融数据安全的重视。

　　央行统计显示，银行账户数量稳步增长，截至2019年末，全国共开立银行账户113.52亿户、同比增长12.07%，其中，全国开立单位银行账户6836.87万户、同比增长11.73%，个人银行账户112.84亿户，同比增长12.07%，全国人均拥有银行账户数达8.09户。

　　为业界所公认的是，金融行业尤其是银行业是风控建设最好的行业，其中信息科技领域的风控建设和落地水平远高于其他行业。依据银保监会“商业银行信息科技风险管理指引”，银行业有严格的风控建设体系和风控监督体系，有严谨的风险控制点的识别、评价、处置、跟踪机制。

　　“银行业信息科技风控要求较高，需要符合国内外风控管理要求，包括商业银行信息科技风险管理指引、巴萨尔协议、塞班斯法案等。”腾讯安全数据安全团队负责人彭思翔告诉记者。

　　杭州某大型技术公司金融事业部总经理曾负责过银行物联网解决方案，涉及到数据服务采集业务，他向记者举例，“设备采集的信息一般会保存在当地银行机构，在信息保存、传输安全性方面，一方面是，银行本身设有专网，内网、外网隔开，还有硬件设施方面的防火墙设置防护；另一方面，各家银行内部有各个层级对安全认证的严格复核管理。”

　　“银行的IT系统不具备大规模向外泄露数据的可能性。”一家股份行风险管理部门总监向券商中国记者分析，“按银保监会的相关规定，银行业IT系统基本分为：生产域、测试域、互联网域等，其中，三个域之间的数据传输收到严格限制。只有在生产域才能看到数据的全貌，测试域只有用于测试的数据，有数据量和脱敏的相关要求，互联网域基本没有客户信息。从技术上、系统上，大规模数据外泄讲不通。”

　　DataVisor黑产研究专家、高级技术经理周君桢的看法类似，金融机构尤其是银行的安全风险等级最为严格，一方面是监管要求高、管理严；另一方面是业务属性决定，对于银行来说，客户账户信息是核心商业价值要素之一，银行会投入大量人力、物力做相关保障，大中型银行也具备强大技术团队和实力。

　　流量经济爆发的安全新挑战：泄密在前端

　　从近期发布的国有六大行年报来看，其中有四家2019年科技投入总金额突破百亿元，最高的建设银行投入176.33亿元；截至2019年末，工商银行金融科技人员规模多达3.48万名、在全员占比高达7.82%，其次是建设银行、交通银行、中国银行、农业银行金融科技人员占比分别为2.75%、4.05%、2.58%、1.58%。

　　银行加大科技投入、科技人员扩容规模空前。然而，银行数据涉密各个环节，尽管被最高等级的风险防护，仍难有万全之说。

　　首先是不同金融机构之间、金融机构内部之间的安全能力有差异。“大中型的金融机构风险等级高，但是一些分支机构风险能力就较弱，可能账户密码保护不严密。一些地下灰黑产业，就会有组织、有目的性地去攻击，抓住一些系统平台存在的漏洞。”周君桢介绍。

　　“银行的风控水平并不是一碗水端平。”上述股份行智能风控中心总监直言，“有的银行风控水平高、有的银行风控水平低，实力强的银行所有的模型都是行内专业人员建模；但是对于部分地方偏远地区的银行等，缺乏高端数据专业人才，只能通过外包方式去建模型。甚至部分不具备技术能力的银行直接拿过来就用一些第三方公司流量数据，这些数据包括身份认证三要素和部分行为特征，但是往往这类数据可能在使用前已经可能被泄密了。”

　　“泄密环节出在前端。”