交行回应称,经核实属谣言,民生银行不排除起诉散布消息者;工信部已介入“泄密”调查
多家银行否认用户数据遭泄露
互联网用户数据泄密事件继续发酵。继CSDN、天涯、新浪等互联网公司后,京东商城、网易公司、支付宝也被卷入“泄密门”。昨日又有网友爆料称,交通银行和民生银行用户资料也遭外泄。
昨日中午,有爆料称交通银行7000万客户、民生银行3500万用户以及工行用户资料外泄,泄露数据包括用户的姓名、卡号、密码等敏感信息,并发布信息截图。
对此,三家银行昨天均发布声明否认有用户资料外泄。业内专家也指出,银行卡交易系统不可能存在明文密码。
28日,国内安全问题反馈平台乌云(wooyun)先后发布漏洞预警,称京东商城、支付宝和网易用户资料被盗,但随后这三家公司均对此予以否认。
◆回应
工商银行
爆料三张卡均为无效卡
中国工商银行相关部门负责人表示,泄密传言不符合实际,银行的客户信息和密码是安全的。这位负责人表示,工商银行在系统中对于客户密码的存储与传输均采用加密方式,在与第三方公司的电子商务合作中,涉及的密码信息均要求在该行系统页面上进行操作。
这位负责人告诉记者,网络传言中所谓泄露银行用户数据中所涉及的三张该行卡均为已注销的无效卡。
交通银行
密码硬加密技术保安全
交通银行则在声明中表示,关于网络传闻称交通银行等多家银行巨量用户资料外泄,经核实,该传闻纯属谣言。
声明称,交通银行对于信息安全工作历来高度重视,采用了先进的密码硬加密技术和周密的安全防范措施,确保为所有客户提供安全高效的金融服务。
交通银行呼吁社会各界共同抵制造谣行为,并保留追究其法律责任的权利。
民生银行
经后台系统查询不实
昨日,民生银行被曝3500万用户资料被泄露。
“我们通过银行后台系统查询,截图中的用户姓名和卡号根本不存在。”
民生银行相关负责人昨天表示,将就该事件同其他几家银行一起上报银监会,不排除起诉散布消息者。
民生银行随后发布正式证明称,经过核查,微博说民生银行客户信息遭泄露严重失实。
◆链接
工信部要求网站自查安全
针对近期部分互联网站信息泄露事件,工信部前日发布通告,强烈谴责窃取和泄露用户信息行为,并展开调查。
工信部在通告中称,近期发生的一些网站用户信息泄露事件严重侵害了互联网用户的合法权益,工信部对窃取和泄露用户信息的行为表示强烈谴责。同时要求各互联网站要开展全面的安全自查。
工信部要求,发生用户信息泄露的网站要做好善后工作,尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示,提醒用户修改在本网站或其他网站使用的相同用户名和密码。未发生用户信息泄露的网站,要加强安全监测,必要时提醒用户修改密码。
工信部同时提醒广大互联网用户,密切关注相关网站发布的公告,并根据网站安全提示修改密码。提高密码的安全强度并定期修改。
◆观察家
“泄密门”应倒逼互联网重建行业伦理
“泄密门”将网企漠视用户信息安全的短板彻底暴露出来。保护用户的信息安全权应作为网站的基本生存准则。
针对近期部分互联网站信息泄露事件,工信部28日发布通告,对窃取和泄露用户信息的行为表示“强烈谴责”,同时要求各互联网站开展全面的安全自查。
在CSDN.NET和天涯传出密码流出之后,很多网友表示“改密码改到手软”,然而网站方面,真诚反思整改者有,浑水摸鱼、以邻为壑者也有。
泄密事件发生后,一些网站借机浑水摸鱼,打起了那些“裸奔”用户的主意,“有些网站把公开库的数据直接导入自己的用户库,也发通知给用户更改密码,来获取用户。”更有一些“灌水”公司,居然拿被窃用户的账号去发“水帖”,刷“僵尸粉”。而一些存在竞争关系的公司,则互相指责抹黑对方。
泄密发生后,网民感到震惊,而在一些网络公司内部其实早就见怪不怪,原因之一就是双方间存在着巨大的信息不对称。有专家揭露,此次被公开的数据库,其实只是部分早就泄露、在黑客交易市场流传很久的老旧数据库,黑客实际掌握的数据库远不止于此。网络公司早知数据库被盗,现在才道歉和采取措施,足见用户利益在其心中的位置之低。
此次泄密事件很大程度上源于“人祸”——一些网站为了商业利益,而牺牲用户的利益。比如,对用户密码进行加密存储,应是商业网站的运营常识,然而,为了方便操作,节省成本,一些网站竟长期使用明文密码,以至轻易遭窃。再如,用户注册时禁用简单密码的网站并不普遍,有的网站不设置密保提问,甚至连验证码也没有。
其实,实现上述操作并不难,要的只是一个将用户利益放在首位的理念而已。对于已遭泄密的网站,要尽快通过各种方式提醒用户修改密码;对于幸免的网站,则要加强安全监测,尽快升级硬件,提升反泄密能力。
如今,电子商务、在线支付、移动支付等网络手段越来越重要,如果泄密扩大,带来的恐怕将不仅是心理上的恐慌,更是经济上的重创。从此角度讲,对网企来说,保护用户就是保护自己;对政府来说,维护健康的互联网行业,也是在维护健康的经济。
那么,就此次泄密事件看,工信部仅仅谴责和要求恐怕还不够,还应及时出台更具体切实的举措及行业条例,乃至推进相关立法,提升行业标准和监管力度,促使网企重视用户的信息安全权益。比如在美国很多州,有意造成用户信息泄露的要负法律责任。
如果说此次泄密事件也能“坏事变好事”的话,那就是将网企漠视用户信息安全的短板彻底暴露出来,倒逼网企重建行业伦理,将保护用户的信息安全权作为基本生存准则。