原標題：兜售客戶信息年入30萬 銀行職員竟稱“不知違法”!比內鬼更可怕的是 黑灰產系統性攻擊

又有銀行客戶信息被非法倒賣!銀行員工以每條80元~110元價格倒賣客戶信息年入30萬，稱不知違法。

如果說銀行“內鬼”盜賣信息是螞蟻搬家，那么更多情況下，大規模的銀行、金融機構用戶數據泄露，可能是來自黑灰產組織的有目的攻擊了。而近兩年多起來的一個現象是，銀行APP也成為更容易被黑客“攻破”的突破口、非法盜取或入侵銀行賬戶信息牟利。

銀行員工“螞蟻搬家”盜賣客戶信息

江蘇電視臺公共新聞頻道報道稱，近日，淮安警方破獲了一起特大販賣公民個人信息案，共抓獲26名嫌疑人，涉案金額2000多萬元。

淮安警方稱，犯罪團伙通過現有的技術手段無法獲取到如此大規模的公民個人信息，這些案件就可能有銀行內部的工作人員參與其中。調查中發現，果然有一名銀行工作人員丁某僅靠幫忙查詢銀行卡信息，一年黑色收入超30萬元。

丁某稱，自己查詢了大幾百條或者一千條個人信息，每條80到110元，稱自己不知道這是違法的，“只是覺得違反銀行規定，因為我們銀行不允許私自把客戶信息泄露。”

梳理中國裁判文書網不難發現，銀行員工因為販賣客戶信息而觸犯刑法，并以“侵犯公民個人信息罪”獲刑的案例并不少見。

裁判文書網顯示，今年3月底，位于浙江省余姚市的建設銀行(港股00939)余姚城建支行原行長沈某沖，因犯侵犯公民個人信息罪被判處有期徒刑3年，緩刑3年，并處罰金人民幣6000元。

沈某沖出生于1973年，現年47歲，案件經審理查明，2017年3月17日，沈某沖將余姚市東城名苑業主的財產信息共計1111條，通過QQ郵箱非法提供給周某用于招攬業務。同年4月20日，沈某沖又將銀行貸款客戶財產信息共計127條，提供給周某用于招攬業務。2018年8月15日，沈某沖主動向公安機關投案，并如實供述了上述犯罪事實。

山東省鄒城市人民法院一份刑事判決書顯示，2018年5月份期間，浦發銀行電銷中心任業務主管楊某，通過在休假前把保存在電腦的客戶數據(姓名、電話號碼等)用手機拍了照片，之后保存在自己的電腦里的方式，利用工作便利獲取客戶個人信息20余萬條，并非法提供給山東星耀君程電子商務有限公司用于電話營銷;同時，這家電商公司員工李某在對這些信息資料進行加工整理后，又以每條0.3元的價格對外售賣給第三人李某洪，后者再將這些個人信息販賣給陳某實施電話詐騙。

“對于銀行本身而言，客戶隱私信息及賬戶資源是極具商業價值的，所以銀行對應著在合規上有著嚴格的流程規范約束，但不排除銀行個別員工，通過螞蟻搬家的方式獲取這些信息，再用于個人牟利。”華北一家反欺詐科技公司高級經理告訴記者。

警惕黑灰產組織的系統性攻擊

如果說銀行“內鬼”盜賣信息是螞蟻搬家，那么更多情況下，大規模的銀行、金融機構用戶數據泄露，可能是來自黑灰產組織的有目的攻擊了。

“更多的是一些三方和黑產組織有目的地去攻擊，有一些系統和平臺也會存在漏洞。”上述華北某公司技術專家告訴記者。

今年4月14日，公安部公布10起侵犯公民個人信息違法犯罪典型案件，其中就有兩例，是技術“黑客”非法盜取信息售賣。

2019年10月，江蘇省南通市公安局網安部門工作發現，網民“wolinxuwei”多次在“暗網”交易平臺出售銀行開戶、手機注冊等公民個人信息，數量高達500余萬條。經偵查，公安機關查明，“wolinxuwei”真實身份為林某。2019年初，林某在“telegram”群組結識某公司安全工程師賀某，林某以40萬的價格從賀某處購得銀行開戶、手機卡注冊等各類公民信息350余萬條，并通過“暗網”銷售給經營期貨交易平臺、推銷POS機的費某、王某等人，非法牟利70余萬元。

2019年6月，北京市公安局網安部門工作發現，網民“yuhong”在“暗網”販賣國內某銀行6.02萬條用戶個人信息。北京市公安局網安部門縝密偵查，鎖定犯罪嫌疑人高某。7月24日，北京公安機關將高某抓獲歸案。經審查，高某交代其利用網站漏洞非法竊取了某銀行等單位網站上存儲的公民個人信息，截至被抓獲，非法牟利3萬余元。

騰訊安全數據安全團隊負責人彭思翔在接受記者采訪時指出，“從宏觀看銀行業存儲了大量用戶敏感信息，信息又全又準確，是黑產重點攻擊的目標。具體來看，外部攻擊方面各銀行為自身發展，開展了大量業務應用，且更新速度快，所以攻擊面很大，攻擊窗口較多，很難做到滴水不漏的防護;內部治理方面，部分銀行權限管控粗放，脫敏機制不完善，導致不必要人員可以接觸大量敏感信息，有誤操作或為經濟利益販賣信息的情況。”

在他看來，銀行信息泄露可能發生在以下幾個場景：

1.外包管理領域，特別是對外包研發、測試的管理不當。生產環境暴露、數據庫過度授權，都會引起數據泄露。

2.信息科技運行領域，訪問控制策略不當，包括物理訪問、主機訪問、終端訪問、遠程vpn訪問。如果沒有建立統一的、恰當的訪問策略，會導致數據泄漏。

3.開發、測試和維護領域，若三個環境未分離，分離后生產數據使用未脫敏，都會導致數據泄漏。

4.信息安全領域，系統漏洞未及時修復、未開展代碼審計等等都會導致系統被攻陷，數據被脫庫。

個人金融隱私保護新挑戰：APP端泄露

而近來裁判文書網披露的多起案件顯示，銀行APP也成為更容易被黑客“攻破”的突破口、非法盜取或入侵銀行賬戶信息牟利。

2019年12月24日，浙江金華市婺城區人民法院對一起非法注冊銀行賬戶并出售獲利的案件做出了判決。判處兩名主犯有期徒刑4年3個月，并處罰金7萬元;判處7名從犯有期徒刑1年6個月至2年3個月不等，并處罰金兩萬至四萬不等。

判決書顯示，短短的兩個月，9名團伙利用“利用APP漏洞和使用抓包軟件”，開設了10000余個銀行三類賬戶，涉及華潤銀行、溫州民商銀行、金華銀行、浦發銀行、中國銀行(港股03988)、招商銀行(港股03968)、建設銀行等多家銀行。

2019年10月，只有初中文化的00后田某被福建省廈門市思明區人民法院以非法獲取計算機信息系統數據罪判處有期徒刑三年，并處罰金人民幣一萬元。判決文書顯示，田某在2019年1月5日至1月15日期間，通過軟件抓包、PS身份證等非法手段，在廈門銀行手機銀行APP內使用虛假身份信息注冊銀行Ⅱ、Ⅲ類賬戶，非法銷售獲利。

在作案方法上，他們利用了類似的APP技術漏洞，跳過了銀行開戶所必須的“四要素”(即驗證開戶人姓名、手機號碼、身份證號碼以及綁定賬戶賬號或卡號)驗證。

具體來看，先輸入本人身份信息，待進行人臉識別步驟時，利用軟件抓包技術將銀行系統下發的人臉識別身份認證數據包進行攔截并保存。隨后，在輸入開卡密碼步驟，將APP返回到第一步(上傳身份證照片之步驟)，輸入偽造的身份信息，并再次進入到人臉識別之身份驗證步驟，此時，其上傳此前攔截下來的包含其本人身份信息的數據包，使系統誤以為要比對其本人的身份信息，最終完成開戶。

“你的信息被泄露，可能都是你絕對想不到的地方。”一位銀行智能風控業務負責人向記者分享，移動互聯網繁榮后，引流、導流流行，但用戶信息泄露的平臺往往可能不是金融機構、大的流量公司或者平臺，反而極有可能是發生在房產中介APP、手游APP的注冊、充值、交易過程中。

中國信息通信研究院發布的《2019金融行業移動APP安全觀測報告》顯示，在對133327款金融行業APP進行掃描檢測后發現，73.23%存在不同程度的安全漏洞，70.22%存在高危漏洞。平均每款金融行業APP存在20.3個安全漏洞，其中6.7個為高危漏洞。不過，移動金融APP信息安全保護也引起的監管的重視，去年以來，多個 監管部門數次公開點名批評百余款應用軟件及其運營企業，涉及未經用戶同意超范圍及非必要使用個人信息等違規情形;去年5月份到8月份，監管部門密集出臺了關于數據安全管理辦法、APP違規收集使用個人信息行為認定方法等多項征求意見稿及草案。

關鍵詞：