个人金融信息“裸奔时代”:内鬼不断、黑客攻击、“钓鱼”卖料

木子 |2020-05-20 11:45130003

银行交易信息泄露背后,个人金融信息安全如何补漏?

来源:消金社

作者:木子


手机被骚扰短信和电话轰炸,用户数据外泄,诈骗、盗刷等事件频发……几乎每一个用户,都深受隐私外泄的困扰。


中国消费者协会发布的《APP个人信息泄露情况调查报告》显示,85.2%的人遇到过个人信息泄露的情况。


互联网和大数据时代,在技术的裹挟下,我们仿佛失去了隐私的权利。而对于一部分金融消费者而言,与他们个人资产、信用状况等高度相关的金融敏感信息正在泄露或被人公开售卖。


如何有效打击这片个人数据地下交易的“灰色江湖”?保护好个人金融信息安全,已成为当下热点。


信息如何从银行流出?


近日,一家股份行涉及泄露上海笑果文化有限公司旗下脱口秀艺人银行账户流水的事件持续发酵。


根据银保监会通报,涉事银行在未经客户本人授权的情况下,向第三方提供个人银行账户交易明细,违背为存款人保密的原则,涉嫌违法违规。


某国有大行工作人员袁东告诉消金社,最近的脱口秀艺人信息泄露事件弄得他们全行上下紧张,“总行已下政策,大力宣讲强调信息安全。”


这些年来,银行个人信息泄露乱象屡禁不止,客户个人征信、财产、房屋产权调查等信息等都频繁被泄露,网络上甚至出现了买卖银行个人信息的“黑市”。


消金社在调查中发现,有提供查询流水操作的黑产从业者,他们打着私家侦探、客服中心等旗号公开叫卖,报价从几百元至几千元不等,有的表示可以“3000元查一个月流水”、“5000元查全部流水”。


有从业者表示,除了储蓄卡,信用卡流水也可查询,不同银行价格不同。但问及流水来源时,卖家不愿过多透露。


根据袁东分析,网络上付费查询他人信息多数都是骗局,而个人隐私信息泄露主要来自黑客技术截获以及内部人员违规泄露两个渠道。


“目前如果想通过技术手段从银行盗取数据,可能性极低或基本没有可能,大行尤其没有可能,我们行历史上好像也没出现过这样的情况。”袁东告诉消金社。


据国家计算机信息安全测评中心数据显示,实际上,重要资料被黑客窃取和被内部员工不当泄露提供的比例为1:99。


消金社咨询了数位查询流水的黑产从业者,有人表示“数据源是从银行后台出的,你可以打印出来。”


一位曾在某商业银行任职一线柜员的员工告诉消金社,其所在银行的柜员只需进入后台系统,可随意查看客户一段时间内的交易流水,无需授权。“每个人应该有自己的职业素养,不是说你能查询到就可以泄露出去,这就是一个基本的职业素养。”该员工补充道。


有媒体直言,脱口秀艺人信息泄露事件只是商业银行信息泄露情况的冰山一角,商业银行大量基层员工的客户信息保密的意识相当淡薄。


河南工业大学曾对郑州商业银行300位客户经理进行问卷调查,显示“60%以上的客户经理所在银行没有建立客户信息保密制度,不了解客户信息的范围;70%的客户经理认为所在银行的客户信息保密制度过于原则,没有覆盖客户信息收集、整理、提升和使用的各个环节;90%的客户经理认为客户信息主要掌握在客户经理手里,所在银行没有规定统一保护措施,工作调动可以随意带走客户信息,不存在任何制约措施。”


从近年公布的法律判决书来看,银行员工私自对外提供个人金融信息的情况时有发生,尤其是在银行支行一级,由于信息安全把关不严,内鬼钻漏洞泄露个人金融信息的乱象较多。


中介“钓鱼”卖料


除了银行等金融机构,近年来兴起的互联网金融、金融科技平台,其用户信息泄露问题亦受到关注。


张小辰突然接到了一个私人号码打来的电话,这个人准确地说出了他的名字和他在某平台的借款金额,并表示由于借款利率有活动优惠,可以直接打5折,但前提是要先还款后再重新借出来才能享受到。


张小辰很警惕,意识到这可能是一个骗局,没和他多说便把电话挂了,谁知骗子马上又打过来质问张小辰是不是不想还款了?


“我随即和骗子说我马上就到派出所,你来跟警察说,骗子立马就把电话挂了。”张小辰对消金社表示,“骗子对我的借款信息十分清楚,很明显,我的信息被泄露了。”


那么,这些数据是哪里来的呢?


“需要网贷数据的加我,质量料子,打包出售!”、“持续出料中,需要的老板联系。”


王强时不时就会在金融甲乙合作交流QQ群里发布推广消息,作为借贷平台用户个人信息的交易中介,王强向消金社极力推荐他的好“料”。


“我们提供的都是知名借贷平台的料,包括平安普惠、360借条等,价格是实时数据2元/条,隔夜数据0.5元/条。”王强向消金社表示,他们目前每天能提供2万条的量,数据能做到实时更新。


据王强介绍,如今信息数据泄露一个重要原因是有内鬼,部分互金平台的贷款数据保密手段并不严格,因此一些别有用心的员工便将数据进行提取并出售,信息除借款人的姓名、联系方式、身份证号码外,还包括手机通讯录等相关资料。


此外,技术手段也是一个获取数据的重要途径,例如,通过设置在国外的技术团队,对平台进行渗透。“这种方式对技术要求也高,目前他们渗透获取的主要是多宝鱼、叮当猫、钢铁侠、借立宝等714高炮平台的数据”王强坦言。


值得一提的是,为获取一些知名平台的数据,王强还介绍了一种目前他们采用的用户信息“钓鱼”大法,具体是打着某平台的旗号,设置假的申请链接,吸引那些想借款的用户填写信息和提交申请。


图片由王强提供


“这种方式用户肯定没法获得借款,但留下了我们想要的信息,而这种方式来的用户相对来说比较精准,都是有借款需求,所以将信息转卖给别的借款平台时,转化为注册用户的成功率一般可达到3%—5%。”


王强告诉消金社,目前卖料市场已经发生了很大的变化,以前各种714高炮现金贷平台数据满天飞,但现在以大额分期数据为主,“这个生意没以前好做了,一年行情比一年差。”


消金社了解到,近年来,在公安部严厉打击“套路贷”的背景下,大批714高炮现金贷接连被查,个人金融信息交易市场随之大幅收缩。


而在监管整体趋严的背景下,此前违规获取用户个人信息的金融数据行业也经历了大整治。


据报道,为“套路贷”提供有偿数据信息服务的涉案公司,为“套路贷”平台提供每次0.2-1.8元的有偿查询服务。


以被打击的聚信立(上海诚数信息科技有限公司)大数据公司为例,该公司通过强制借款人授权,大数据征信公司可以利用爬虫技术在500多家网站非法爬取公民的个人信息,包括公民身份验证信息、电信运营商通话详单、淘宝京东等电商数据等,形成详细的报告提供给套路贷犯罪团伙作为放贷、催收的依据。


大数据时代的信息保护


在现金贷和大数据行业在被监管强力整治的同时,金融APP收取用户信息的问题亦被重视。


近期,零壹财经对200款金融APP进行专项评测,评测对象涵盖银行、保险、消费金融、支付、汽车金融等,评测内容包括隐私政策、密码安全、个人信息安全3个指标及41项细分标准。


评测发现金融APP存在的主要问题包括:超过38%的APP违反必要原则,超范围收集与其业务无关的个人信息;超过56%的APP修改登录密码时,存在安全隐患;超过45%的APP在用户不同意隐私政策时,强制退出,无法使用等。


200款金融APP评测情况,数据来源:零壹财经


有用户在新浪黑猫投诉平台上称,他下载注册携程金融APP,在借款申请审核未通过后,想注销账号却被平台要求提供个人隐私信息。


“打算注销账号和实名认证信息,以避免信息泄露或者被不法分子盗用,随后无奈发现平台没有自助注销功能不说,更无语的是,想注销需将包括手持身份证正反面照片等隐私个人信息发送至他们邮箱,有变相收集个人信息之嫌疑。”该用户表示。


进入大数据时代以后,客户资料普遍实现了信息化和数字化,对客户资料的保密也必然延伸到对金融信息和数据的保护层面,信息安全已成为金融机构安全保障义务的核心内容。


与其他个人信息相比,个人金融信息与个人资产、信用状况等高度相关,一旦泄露,对消费者的财产安全造成的威胁更大。因此,监管十分重视对于个人金融信息的保护。


早在2007年,央行就开始陆续通过《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》等文件,开始了对个人金融信息的保护。


今年2月份,人民银行发布《个人金融信息保护技术规范》,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求。


而正在征求意见的《个人金融信息(数据)保护试行办法(初稿)》要求金融机构建立全生命周期的个人金融信息保护制度。此外,专门性立法《个人信息保护法》和《数据安全法》已被列入了十三届全国人大常委会立法规划。


袁东表示,除了顶层设计层面的监管政策逐步完善,与此同时,在金融科技加快应用的背景下,金融机构应主动作为,应用科技手段提升客户金融信息保护的能力。


在大数据行业经历整治洗牌之际,人们对信息安全的意识慢慢觉醒,提供信息保护技术的金融信息安全行业迎来了春天。据不完全统计,从2019年年初至今,信息安全行业发生了25起融资事件,涌入这一赛道的资金至少有29亿元。


“从去年年底开始,业务量多得接不过来。”一家信息安全咨询公司的老板在接受一本财经采访时称,预估信息安全行业的市场规模将达到3000亿,步入发展的快车道。


有业内专家建议,大数据时代,要想从根本上解决信息泄露问题,还是要依靠先进的技术,在可能出现个人隐私和信息泄露环节,要用技术将信息匿名化,这些匿名信息只有系统能识别,而行为人不能识别、获取。


也有人认为:“加重惩罚,让企业感受到痛,它们才会重视。”


比如,在国外,企业泄露用户信息后,将面临天价罚款。2019年,因为用户信息被泄露,Facebook就被罚款50亿美元。


不仅如此,金融消费者也要提高自我保护意识,不随意轻信陌生电话、不要打开未知链接、注意甄别不合规平台,避免上当受骗。全社会一起努力,也将加速告别个人信息的“裸奔时代”。


注:文中部分受访者为化名。




6
标签:个人信息 泄露 
发表评论
同步到贸金圈表情
最新评论

线上课程推荐

火热融资租赁42节精品课,获客、风控、资金从入门到精通

  • 精品
  • 上架时间:2020.10.11 10:35
  • 共 42 课时
相关新闻

移动支付最常见安全问题是个人信息泄露

2018-12-28 15:46
34395

3·15| 央行发布八大金融消费“套路”案例 点名套路贷、金融服务费、个人信息泄露

2020-03-15 19:44
57365

飞猪被曝泄露个人信息

2023-10-19 13:47
73905

揭秘银行泄露个人信息的背后真相

2012-08-20 15:25
1638

关注个人信息与财产安全,捷信与您携手守护个人信用记录

2023-08-14 11:42
156525

银保监会开展侵害个人信息权益乱象专项整治

2022-08-28 21:37
12961
7日热点新闻
热点栏目
贸金说图
专家投稿
贸金招聘
贸金微博
贸金书店

福费廷二级市场

贸金投融 (投融资信息平台)

活动

研习社

消息

我的

贸金书城

贸金公众号

贸金APP