事件起因
2011年12月29號,一家知名網際網路資訊平台發布訊息稱,據網友爆料,國內多家銀行的用戶數據已經泄露,其中交通銀行7000萬,民生銀行3500萬;數據包含了用戶的姓名、卡號、密碼等敏感信息。
當天下午,交行、民生、工行等紛紛發表聲明否認用戶賬號被泄密。業內專家則指出,銀行卡交易系統不可能存在明文密碼,但銀行信息安全依然值得關注。
事件發展
銀行:信息“不是來自銀行資料庫”交行發布官方公告稱:“我行關注到有網路傳聞稱交通銀行等多家銀行巨量用戶資料外泄,經核實,該傳聞純屬謠言。”
交行方面表示,交行對於信息安全工作歷來高度重視,該行採用了先進的密碼硬加密技術和周密的安全防範措施,確保為所有客戶提供安全高效的金融服務。
根據公開資料,所謂“硬加密”,就是不光靠密碼解密,還必須有一個外在於密碼系統的物理密鑰,比如傳送到手機的動態口令或者隨身碟密鑰,其安全性通常高於單靠密碼的“軟加密”方式。
民生銀行昨天也發布聲明表示:“12月29日,有微博說有我行客戶信息遭泄露。經查,此信息嚴重失實。”
此外,工行相關部門負責人則回應稱:網路傳言中所謂泄露銀行用戶數據中所涉及的三張該行卡均為已註銷的無效卡,且相關文本中包含了訂單號(OrderID)等內容,可以判斷信息不是來自銀行資料庫。”該人士說。
交行信息技術管理部總經理麻德瓊則在其微博上解釋道:“從微博截圖的頁面來看,顯然不是銀行的系統頁面,況且銀行的密碼設定是全程硬加密的,不可能在銀行外部的系統上顯示。”
“從截圖中的密碼來看,不可能是銀行卡密碼。”籬笆網創始人徐湘濤昨天接受《第一財經日報》記者採訪時表示,“卡號和姓名之類信息泄露的可能性是有的,但裡面所謂銀行卡密碼毫無疑問是假的。”
曾參與開發銀行卡相關係統的徐湘濤說:“通常銀行卡的密碼是不可逆加密的,系統里根本就不可能存在明文密碼,也不存在所謂給安全部門留明文密碼的後門。”
但國內銀行的安全問題依然值得關注,“銀行在很多環節採用普通電話、郵件文本附屬檔案傳送交易指令和數據,這很容易在某一環節就被截取信息。”徐湘濤說。
有業內人士猜測,如果截圖和檔案是真實的,最大可能性是第三方支付平台的資料庫被盜取,密碼則是第三方支付平台的支付密碼。
但一家第三方支付公司相關負責人則對本報記者表示,截圖來自第三方支付平台數據的可能性不大。“首先,支付機構並未與商業銀行共享包括卡密碼等在內的客戶信息;其次,從截圖看,露出密碼部分均為數字,而大多數支付密碼為拼音、數字、符號等不同種類組成。”
該支付機構人士認為:“這更可能是一份釣魚網站多方獲得信息的匯總。”
事實上,近期第三方支付平台支付寶也深受用戶資料泄密困擾。此前有訊息稱,支付寶用戶信息大量外泄,被用於網路行銷,泄露的支付寶用戶信息總量達1500萬~2500萬之多,但泄露信息只限支付寶用戶的賬號,沒有密碼。
支付寶官方昨日則回應稱:“我們承諾沒有任何人能從支付寶獲得用戶的密碼等私密信息。”
近期以來,有黑客在網際網路上公開提供包括人人網、貓撲、多玩、天涯等在內的網站部分用戶資料庫下載,國內知名的社區網站天涯網的用戶隱私也遭到黑客泄露,數量達到4000萬。
徐湘濤就提醒,行銷公司、詐欺團伙對用戶信息,包括SNS關係很感興趣,“最好是各站用戶名信箱密碼均不同,至少支付等重要密碼和普通的網站要不同。”
