2021年1月初,有黑客在暗网发布消息称,已经掌握交行1679万条用户信息,贩卖价格为8.8枚比特币,甚至还留下了部分数据样本,显示为部分交行用户的借记卡号、姓名、家庭住址、开户分支行等信息。
按照目前比特币的价格,黑客索要金额约为220万元人民币左右。
这样的“数据裸奔”现象引起了社会关注,在该消息在互联网传播的同时,交通银行1月11日下午在官微发布声明称,经系统核查比对,确认所谓交行客户信息与该行真实客户信息不符。
交行称,不存在黑客入侵,不存在客户信息泄漏。该行已就相关违法行为向公安部门报案,依法追究损害该行商誉行为的法律责任。
交通银行表示,我行始终高度重视数据安全保护工作,通过部署多层次网络安全纵深防御措施,切实保障客户信息安全。我行将积极配合相关部门严厉打击伪造贩卖公民信息、恶意造谣扰乱金融秩序的不法行为。
这已经不是第一次黑客“盗卖”银行客户信息。
2020年4月,疑似国内多家银行等金融机构的数百万条客户数据在境外黑客论坛RAID FORUMS上被出售,其中包括客户手机号、姓名、身份证号和联系地址等信息。
例如,上述论坛上一位用户出售农业银行的客户信息,信息量超90万条,初次报价为3999美元,第二次发布时贩卖价格为2500美元;上述论坛上另一位用户出售的信息则涉及多家机构,包括80万余条上海银行用户信息、40万余条兴业银行信用卡用户信息、10万条浦发银行用户数据,以及招商银行数据等。
其中,浦发银行、上海银行的数据大多涉及客户手机号、姓名、性别、身份证号、联系地址等。
相关银行和金融机构均就此事给出了官方回应:经核查网传所述客户信息,与所在机构客户真实信息要素并不匹配。不排除是拼凑、伪造、出售所谓的客户信息。农业银行还回应称,目前已向监管部门报告有关情况,并准备向公安机关报案。
而在此前,银保监会发布的《银行业金融机构数据治理指引》也特别提到,银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。
2018年11月,央行曾披露了一起银行泄露个人信息案例,池州九华农村商业银行因泄露个人信用报告信息和违规操作,被罚款22万元,负有直接责任的高管被罚款2万元。
2019年8月,中信银行因为“未向监管部门报告重要信息系统运营中断事件”和“信息系统控制存在较大安全漏洞,未做到有效的安全控制”,被央行处以2223.7万元罚款。此外,一些银行业机构违规泄露客户信息的员工,不仅遭终身禁业,还受到了法律的惩罚。