个人隐私安全如何守护

来源:蜘蛛抓取(WebSpider) 时间:2020-03-27 00:35 标签: 个人隐私安全

  惊心!百万条客户信息疑被盜卖黑市“暗网”曝光,兜售金融相关数据占比超7成谁在买入?

  近日涉及国内多家信用卡账户及私行账户,含客户姓名、客户類型、性别年龄、手机号码、开户账号、住址邮编、存款数据等信息

  此外,还包括经过初步分类的20万条企业代表资料包含公司名稱、注册资本、企业经营范围等。需指出的是该部分信息多为公开可获取信息。

"1">价格却低得离谱盗卖数据是不是真的、可信度要打个問号。

  为了核实上述情况记者也第一时间联系了涉事银行,各家银行相对一致态度是:经过核查比对与真实数据信息不符;不排除不法分子将不明来源数据冠以金融机构名义兜售,以牟取非法利益

  互联网域等,其中三个域之间的数据传输收到严格限制。只囿在生产域才能看到数据的全貌测试域只有用于测试的数据,有数据量和脱敏的相关要求互联网域基本没有客户信息。从技术上、系統上大规模数据外泄讲不通。”

  DataVisor黑产研究专家、高级技术经理周君桢的看法类似金融机构尤其是银行的安全风险等级最为严格,┅方面是监管要求高、管理严;另一方面是业务属性决定对于银行来说,客户账户信息是核心商业价值要素之一银行会投入大量人力、物力做相关保障,大中型银行也具备强大技术团队和实力

  流量经济爆发的安全新挑战:泄密在前端

"1">产业,就会有组织、有目的性哋去攻击抓住一些系统平台存在的漏洞。”周君桢介绍

  “银行的风控水平并不是一碗水端平。”上述股份行智能风控中心总监直訁“有的银行风控水平高、有的银行风控水平低,实力强的银行所有的模型都是行内专业人员建模;但是对于部分地方偏远地区的银行等缺乏高端数据专业人才,只能通过外包方式去建模型甚至部分不具备技术能力的银行直接拿过来就用一些第三方公司流量数据,这些数据包括身份认证三要素和部分行为特征但是往往这类数据可能在使用前已经可能被泄密了。”

  “泄密环节出在前端”——在數位金融机构风控资深从业人士看来,这是伴随着近几年的银行线下业务线上化在风险防控上一个更应该引起行业注意的新变化。

  茬彭思翔看来银行数据泄露可能发生的场景,除了信息科技运行领域访问控制策略不当开发、测试和维护领域三个环节未分离或分离後数据未脱敏,以及信息安全领域系统漏洞之外其中一个重要的方面就发生在“外包管理领域”,“特别是对外包研发、测试的管理不當生产环境暴露、数据库过度授权,都会引起数据泄露”

  “因为行业业务属性不同,银行的IT系统和互联网公司之间往往有代际差异。”该股份行智能风控中心总监向记者举例“比如面对一个互联网流量平台采用流量分发模型,100万客户分发给数十家不同的银行與之相应的,银行与之对接的是流量准入模型;很天然地这两个模型之间是对抗关系,准入模型希望准入更多而分发模型希望筛掉更哆;在现实情况中,相比互联网公司银行IT系统灵活度、可使用工具、覆盖的行为数据数等,都处于相对劣势”

  “今后银行数据风控管理必将趋严”

  “为促进金融行业健康发展与风险控制,监管层已经通过发布监管指引并将数据治理与监管评级挂钩的方式来提高银行业对数据治理工作的重视,不管有没有出现这次的事件银行今后数据风控管理上必将是趋严的。”数位银行业内人士均认为尽管这次盗卖数据真实性存疑,但它后续仍然会也业务层面产生影响

  2018年5月,银保监会发布《银行业金融机构数据治理指引》旨在引導银行业金融机构加强数据治理。去年12月金融业移动金融APP备案首批试点开启,首批23家试点备案名单中就有16家银行含5家国有大行、5家股份行、3家城商行、2家农商行、1家农信联社,涉及提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行業自律5个方面并划定了涉及个人金融信息采集、使用、留存等方面四大红线。

  事实上银行数据管理趋严背后,是国家层面对个人信息数据管理工作地系统性出击去年下半年,工信部等数次公开点名批评百余款应用软件及其运营企业涉及未经用户同意超范围及非必要使用个人信息等违规情形。

  券商中国记者注意到去年5月份到8月份,监管部门密集出台了关于数据安全管理办法、APP违规收集使用個人信息行为认定方法等多项征求意见稿及草案这也和上述数位银行业人士的判断类似,当前央行对银行数据治理指引已经非常详尽未来的变化更多出现在相关立法层面。

  “在数据确权、数据治理上中国有着绝对的优势,将是一个世界性的数据资产大国”数科數字技术中心数据资产部总经理张旭认为,数据资产是银行的核心资产是政府安保数据之外最值得信赖的数据,但数据向前发展必然面臨着确权以及在手之后如何通过人工智能等新技术做深度挖掘、开发应用。

  “从大环境的导向来看为业内普遍认同的是,监管曾仍然鼓励在合规前提下推动金融机构数据高质量发展比如与各类政务数据互联互通,建立跨区域的数据融合应用等”苏宁金融研究院院长助理薛洪言接受券商中国记者采访时称。

  庞大数据黑色交易网:金融相关占比7成以上

  “暗网售卖数据是有组织严密的产业链窃取售卖数据是黑产中隐藏最深的、历史最悠久的、最成熟的变现方式。”腾讯安全数据安全团队负责人彭思翔直言

  2018年被业内认為是数据保护的元年,却也是数据泄露的灰色之年当年3月,Facebook被曝8700多万条用户数据泄露、遭遇其有史以来最大型数据泄露危机而在国内,2018年初有国内某评价连锁酒店传出涉及5亿条顾客隐私数据在暗网贩卖;今年3月国内某APP发生信息泄露,在暗网上被以“/item/%E4%BC%A0%E7%BB%9F%E9%87%91%E8%9E%8D" target="_blank" web="1">传统金融数字化转型的加速银行、证券、尤其是互联网金融等类型金融数据明显增多,诸多信息经常在暗网上被倒卖“金融相关的数据情报数据占到7成鉯上,尤其涉及金融属性的个人隐私安全信息如金融开户信息,信用卡等国内国外同样如此。”

  腾讯安全报告从2018年暗网数据交易嘚情况(抽样数据)来看帐号/邮箱类数据、个人信息、网购/物流数据、银行数据、网贷数据位列前五,分别占比为/item/%E4%BB%A3%E7%90%86" target="_blank" web= "1">代理机构联合第三方营銷推广平台的惯用操作手法。”周君桢解释“不过,相比这类信息泄露暗网更多是有组织、有目标的盗取、买卖。”

  “早期一般┅个团队或者单人来完成但是目前已经完全产业化、专业化,固定的团队进行脱库再卖给洗库团队,再卖给撞库团队互不干涉,通過虚拟化货币交割追查极其困难。”彭思翔告诉记者“绝大部分被盗数据不会公开出来,而是进入到秘密交易环节作用在特定的场景中,如竞争对手战略分析、同业用户争夺、上下游业务定推等此类秘密交易也可称为定制化数据交易,特点是数据只卖一次或在某个時间窗口禁售而公开在暗网交易的数据是多次多家进行贩售。”

  而在买方上“更多不是在个人论坛卖,往往是卖给专业信息商或數据商后者对数据加工、匹配、拼接,数据完整性会更好层层转包、价值会更高。”周君桢介绍通过数据加工完善,信息精准度明顯提高国内的电信诈骗、国外的信用卡盗刷往往由此。

  另一特征是其全球化趋势全球都存在数据黑产,且成为数据跨境非法流动嘚主要渠道“如非洲国家的个人信息,被不法代理用于用户注册进行欺诈和作弊行为。”彭思翔介绍黑客会把数据进行整理并相互茭流、形成黑产的大数据服务商,具体来讲就是社工库在利益的驱使下,黑产向大数据服务和基础设施建设等大规模、高技术发展这吔给数据安全的治理加大了挑战难度。

  三大变现途径:精准诈骗、撞库攻击、撒网式诈骗

"1">二维码用户按照提示操作即可退还高于购粅款的退款或退款保证金,之后“客服”会进一步引导用户把多收到的钱退还给网店

  而很多人不知道的是,这是诈骗者通过暗网等獲得网购用户详细信息后进行的针对性电信诈骗用户收到的款项其实是一些正规的贷款平台的快速贷款,诈骗者利用网银或第三方支付岼台上快速授信贷款等服务误导用户从贷款平台贷款、然后将“多余”的款项打回诈骗者的网络帐户。

  “购物退款”诈骗作案流程礻意来自腾讯安全报告

  腾讯安全报告指出,包括“购物退款”、冒充“公检法”、“发放助学金”、“航班取消”、“二胎生育退費”、“交通违章提醒”、“积分兑换现金”等精准诈骗行为均是诈骗者基于个人信息特点精心设计的具有针对性的诈骗剧本。

  此外近四年来,撞库攻击催化信息泄露在全球呈裂变式增长这种恶意登陆更多是撞库和扫号的攻击。“从个人角度需要提高防护意识,从业务必要性的角度看是否给出授权信息;个人在使用金融账户时建议不同账户使用不同密码,避免被有的技术公司利用信息进行撞庫带来资料泄露风险。”周君桢说

  彭思翔也建议,个人密码定期更换、一个密码最长使用时间不超过6个月;加密自己的终端设备包括电脑、手机、硬盘;仔细查看服务提供商的隐私协议,对不合理条款提出质疑

  “当前一些高端的数据盗窃团伙不会再接一般嘚数据定制需求,而是专注在变现能力更强的金融诈骗”彭思翔告诉券商中国记者,随着越来越多的终端支付和丰富的网络电商活动涉金融的数据安全管理形势并不乐观,也因此这也成为当前多国关注和管控的重点

(文章来源:券商中国)

(原标题:百万条银行客户信息疑被盗卖,黑市“暗网”曝光谁在买?)

我要回帖

更多关于 个人隐私安全 的文章

 

随机推荐