商业银行HR私人邮箱泄密 网上银行存有漏洞

安全 漏洞
当个人信息沦为某些人眼里的“商品”甚至“金矿”,甚至引发全社会焦虑的时候,各界要求对此进行专门立法的呼声也日益增多。据了解,我国目前有几十部法律法规涉及个人信息保护,但内容分散、层级偏低。

“我们手中掌握着1.5亿中国中高端消费者的信息。”这是今年央视“3·15”晚会上曝光罗维邓白氏公司贩卖个人信息时的一个令人胆寒的对白。

涉个人信息犯罪总体可分为三个层次,而且环环相扣:“源头”向汽车销售、房地产、保险甚至银行等行业收集加工个人信息——“中间商”从“源头”购买信息后向各地倒卖,彼此间再不断进行买卖和交易,获取新的信息,掌握海量数据,从而构成兜售信息的数据平台——非法调查公司、讨债团伙等购买信息后,从事下游犯罪活动。

记者在调查采访中也发现,多部门已经采取各种措施打击,通过各种论坛和QQ群,检索“个人信息”很难找到有价值线索,但如果具体到 “车主资料”、“婴儿资料”等具体信息,依然可以找出不少相关的网站和信息。

当个人信息沦为某些人眼里的“商品”甚至“金矿”,甚至引发全社会焦虑的时候,各界要求对此进行专门立法的呼声也日益增多。据了解,我国目前有几十部法律法规涉及个人信息保护,但内容分散、层级偏低。

银行卡在手,账户内的钱却被人悄悄转走;远隔千里,电话那头的陌生人却直呼你的全名,甚至熟知你的住所和车牌号;多次搬家,神秘讨债人仍能夺门而入……身处信息化社会,人们在享受各种便利的同时,却深感“隐私”越来越远,甚至让人有种绝望的无助。

供职于某商业银行人力资源部的余波刚不会想到,由于公司工作邮箱故障,自己为应急用个人外网邮箱发送的一封邮件竟成了犯罪分子眼中的“大鱼”。 2011年4月,仅有初中文化的80后河北人李金(化名)通过猜密码的方式获取了余波刚邮箱内发送的员工工资卡信息资料数百条,并通过网上银行系统盗刷其中7名员工信用卡共计人民币55634元。近日,李金被静安区人民检察院依法提起公诉。同时,针对此案中暴露的问题,静安检察院专门发出《检察建议》。

用户名密码相同埋隐患

余波刚是某商业银行上海分行人力资源部的员工,出于安全保密需要,公司规定涉及工作内容的邮件均需通过专门的工作邮箱发送。然而,有一次由于公司工作邮箱出现故障,余波刚为应急,便利用外网上的个人邮箱发送了一封电子邮件。

这封邮件中包含了单位员工的工资卡卡号、身份证号码等文件。更要命的是,余波刚的个人邮箱用户名所用数字与邮箱密码一致。但余波刚当时并未预料到这一疏忽可能造成的严重后果。

据犯罪嫌疑人李金供述,2011年4月,他在某商业银行网上商城的论坛内看到一个用户的用户名是jack33(化名)。当时,李金并不知道该用户是一家商业银行上海分行人力资源部的员工余波刚。

抱着试试看的态度,李金用该用户名的后六位数作为登陆密码成功进入该帐户,并发现一个雅虎的邮箱和另一个hotmail的邮箱。这两个邮箱同样属于余波刚,且两个邮箱密码都是831021。

泄露百条信息被盗刷5万

李金成功进入余波刚的hotmail邮箱后,意外地在一个excel文件里获得了二、三百条银行相关人员的银行卡卡号、持卡人名字、身份信息。当看到这些极其隐私的信息后,李金如获至宝,在他眼里,这些信息的背后可能隐藏着巨大的财富。

李金生于1987年,老家在河北省保定市,由于只有初中文化一直没有固定职业。喜欢上网的李金在获得持卡人名字、银行卡号、身份证号等信息后,立即登陆网上银行,先把猜出的持卡人生日密码输入,再利用人工和按键精灵软件对该银行三位数CVN2码进行随机测试,取得相关银行卡对应的三位CVN2码并记录下来。随后他就冒用持卡人名义使用这些卡在网上第三方交易平台进行无卡充值、消费。

经查,从2011年4月30日至5月13日,李金利用上述手法成功将7张该家商业银行卡内总计55634元转入自己在快钱等第三方支付平台控制的帐户。

李金为了防止刷卡时,被害人收到短信提醒,还通过拨打银行声讯台或登录银行个人网银更改了持卡人在银行预设的消费短信提示手机号码。这样冒用后持卡人不会收到消费提醒,使得被害人无法及时获知信用卡被冒用情况,扩大了经济损失。

主动投案被判3年缓刑3年

2011年5月3日,该银行一名员工陈某用工资卡为手机充值时,发现卡内出现五笔 “异地消费”,自己被人窃走5000元。通过银行内部系统追查钱款的去向,该员工发现被窃钱款已进入到北京快线支付平台中。

与此同时,类似情况在该银行接二连三被发现,由此引起银行高层和上海警方的重视。 2011年 6月,警方对李金实施了上网追逃。2011年9月上旬,自知能躲过初一躲不过十五的李金向当地公安机关投案自首。到案后,李金交代自己的妻子刚生了一个女儿,现在才11个月大,而他作案大多是在半夜里。李金称,由于被害人采用生日作为信用卡的密码,他得以顺利地盗刷7张信用卡,总计到手金额2万余元。李金利用这些盗刷的钱款,小部分用于给女儿购买尿片、婴儿食品等商品,大部分则被用于购买充值游戏币和手机话费充值。

近日,上海静安法院开庭审理此案。鉴于李金犯罪后能自动投案自首并退还了全部犯罪所得,静安法院依法对李金从轻作出了判决,以信用卡诈骗罪判处李金有期徒刑3年,缓刑3年,并处罚金人民币2万元。

检察院向银行发《检察建议》

在承办此案过程中,静安检察院的检察官发现,犯罪嫌疑人通过猜密码的方式轻易获取银行人力资源部员工在外网邮箱内发送的员工工资卡信息资料数百条,并通过银行网上银行系统盗刷其中7名员工信用卡共计人民币55634元。而该案犯罪嫌疑人系初中文化,并没有高深的电脑技术,其能够通过网络获取他人信用卡信息并冒用,反映出银行存在一些问题。据此,静安检察院先该商业银行上海分行发出一份 《检察建议》。

该《检察建议》指出,银行主要存在下列问题:

一是内部保密管理存在较大疏漏,HR李某违反内部规定,利用外网上的个人邮箱发送包括单位员工的工资卡卡号、身份证号码等内部文件。

二是网上银行系统存在严重漏洞,该行网上银行交易系统只需输入卡号、密码、证件号码、CVN2、验证码即可登录。CVN2码是卡背面的3位数字,从000到999随机试验即可获得,未设置若干次输错当天无法交易或者锁卡等安全措施。

三是对持卡人的安全防范教育有待加强。被害人缺乏安全意识,多个密码等都是简单以生日作为密码。犯罪嫌疑人更改持卡人在银行预设的消费短信提示手机号码时银行未予核对,导致冒用后持卡人不会收到消费提醒,扩大了经济损失。

初始密码忘改 股票账户不保

静安区检察院的检察官在办案中发现,密码过于简单往往是诱发犯罪的因素之一。例如网上证券操作系统方便,用户们输入密码就能在线买卖证券。但如果用户马大哈,不及时把初始密码改成自己的密码,就可能被人利用。孙鑫(化名)就是利用这一漏洞控制客户账户,私自盗卖他人证券,变相取出他人钱款。 30岁的孙鑫2007年曾在一家证券公司做证券经纪人,对证券操作有一定的了解。2008年他又无业在家,靠透支信用卡维持生活。到2010年7月,孙鑫共计透支12万元多,面对银行的不断催款,他动起了盗卖他人证券账户内证券牟利的歪脑筋。

由于他曾经做过一段时间的证券经纪人,他发现很多客户忘记修改初始密码。于是他通过试用户名和初始密码进入他人账户,将他人账户内证券抛售,获取账户内资金后,高价买进自己账户内低价抛出的企业证券。从而使自己账户获利十余万,造成多名被害人账户损失共20多万。

静安区检察院的检察官指出:这是一起犯罪嫌疑人为贪财盗窃证券公司用户资金的盗窃犯罪案件,孙鑫通过非法侵入证券公司客户资金账户,与其实际控制的证券账户交易,高买低卖,从而获利数万元并造成被害人损失20万余元。检察官提醒市民,初始密码,最好第一时间进行修改,确保账户安全,不能让不法分子有机可乘。

七成网民遭遇个人信息泄露

近日,半月谈社情民意调查中心通过半月谈网进行的一项3046人参与的在线调查发现,有七成网民曾遭遇过个人信息泄露。其中,有30%的网民表示曾多次遭遇此类情况。对于个人信息泄露的途径,调查发现,银行、保险公司、商场等商业单位是民众认为最有可能泄露个人信息的机构,有1530名受访者对此表达了担心,占参与调查总人数的51%。

调查显示,公众对个人信息安全的认知和重视程度还有待加强,38%的受访者日常并不注意保护个人信息,在网站需要提供个人信息时不清楚信息收集的目的。长期关注网络社会问题的中国传媒大学詹骞老师认为,网上个人信息频频被泄露的根源,一方面是由于公民个人的信息保护意识和能力还不够强,另一方面在于技术和商业利益裹挟在一起,不法分子通过各种技术手段盗取用户的个人信息,背后是商业利益的驱使。另外,人们在享受互联网便捷性的过程中,也不知不觉地将个人信息和隐私交换出去,如通过微博和交际网站晒个人的生活细节等,都存在信息泄露的隐患。

面对个人信息泄露可能给公民人身和财产安全造成的威胁,民众普遍呼吁出台保障个人信息安全的专门政策,加强立法。

法规保护个人信息呼声高涨

网络平台仍在卖手机号

车主信息号称准确率100%

记者在网上搜索发现,尽管查找“个人信息”很难找到相关资料,但是具体到“车主资料”、“婴儿资料”等具体信息,就能找出不少相关的网站和信息。

在一个名为“车主之家”的网站上,网站做得非常简陋,里面的文章大多与车主个人信息有关,但记者点击多篇文章,都是四处拼贴,甚至前言不搭后语。不过网站的顶部显著位置却用加粗的大号字写着:“车主资料、车主信息……”还留下了一个QQ号码。随后记者在该网站也看到多条“求购信息”,其中有人询问上海车主信息,下面回复中留下了一个QQ号。

记者随即跟该QQ号取得了联系,QQ号主人自称姓马,他告诉记者自己手上的车主资料是上海今年以来最新的信息,目前只剩下3600条,“保证全部一手信息。”随即,对方给记者发来一张截图,是一张EXCEL表格,上面有车主姓名、车牌号、固定电话、家庭住址和身份证号,而手机号则被遮挡。据对方表示,付款之后会发送完整的表格。付款前还能提供7个车主信息供验证。

“我给你的信息,全部都是真实有效的,除非个别车主遇到不幸了。 ”这名卖家信誓旦旦地表示,自己销售的车主资料准确率高达100%,因为信息来源十分“可靠”。随后记者在网上查询发现,该QQ号主人还在其他网站和论坛发布相关信息,并称“我们的车主资料数据全部来源于全国各大汽车销售商、车管所、保险公司等。 ”

信息贩子疑教唆犯罪

不过该QQ号主人提供的信息叫价颇高,每条信息索价3元。当记者表示价格太贵时,对方表示:“你买的便宜货,有没有我这样的品质?能不能获得同样的收益? ”当记者表示要价太高时,对方表示:“你要是内行,就知道我这个价格不高。懂的人凭我这点资料,收益都是几十万甚至上百万的。 ”记者随即询问如何通过这些信息赚钱时,对方先表示“不知道,知道还能在这儿跟你聊天?”随后又表示,“透露一点点:新车退税”。

据了解,所谓的“新车退税”是一种典型的电信诈骗手法,即通过电话和掌握的车主信息,称车主车辆购置可以退税,随即要求提供银行卡及密码等信息。然而根《车辆购置税征收管理办法》,已缴车购税的车辆,因质量原因,车辆被退回生产企业或经销商或是应当办理车辆登记注册的车辆,公安机关车辆管理机构不予办理车辆登记注册的。

记者从一些相关人士处获悉,现在网上买卖的信息大多已是层层转手,每次转手就被赚一笔钱。来沪人员陈女士曾通过网络QQ群买卖私人信息:“我从别人那里2毛一条买进,我这边1毛5一条卖出,多次贩售就能把钱赚回来。”不过一些相关人士也表示,如今个人信息价格越来越贵,要求也越来越高:“特别是涉及到一些电讯诈骗的,对个人信息要求很高,不仅要准确全面,而且要速度要快,比如针对孕妇、新车车主一类特别人群。 ”

采访中,记者了解到,近年来,上海警方陆续破获了一批非法获取、倒卖、出售公民个人信息的案件,并在公安部指导下,开展系列专项行动,包括针对公民个人信息、隐私泄露的源头进行清理整治,加大对此类违法犯罪行为的打击力度,尽最大努力保护公民个人信息安全。

上海警方表示,出售、非法提供公民个人信息和非法获取公民个人信息是违法犯罪行为,将依法严厉打击,并坚持一查到底、决不姑息。同时,警方建议市民要切实提高个人信息保护意识。

信息泄露“源头”在内部

日前,记者从公安部官方网站获悉,4月下旬,在公安部统一部署指挥下,上海、北京、河北、山西等20个省区市公安机关开展集中行动,严厉打击侵害公民个人信息违法犯罪活动取得重大战果。据统计,各地共抓获犯罪嫌疑人1936人,依法刑事拘留978人,挖出非法出售公民个人信息的"源头"44个,破获各类刑事案件3024起,狠狠打击了此类违法犯罪活动的嚣张气焰。

据公安部相关负责人介绍,侵害公民个人信息违法犯罪活动,已经形成了犯罪网络和利益链条。一些犯罪分子大肆向掌握信息的部门内部人员购买信息,并通过网络相互买卖,形成了公民个人信息的网络交易平台。且不法分子通常内外勾结,许多信息源头都在内部。大量倒卖信息的源头,来自掌握公民个人信息的单位和部门,个别"内鬼"为了经济利益非法出售大量公民个人资料。遭到非法倒卖的公民个人信息,与电讯诈骗、暴力讨债等下游犯罪相互交织,危害巨大。

令人头痛的是,此类犯罪作案具有很强隐蔽性,极易销毁证据。犯罪分子主要是利用网络进行倒卖信息活动,用的都是虚拟身份,为了逃避打击,经常变换身份,交易成功后立即销毁作案证据,给侦查工作造成很大的困难。

公安部负责人表示,公安部高度重视打击侵害公民个人信息违法犯罪活动,此次集中行动是公安部直接部署指挥、打击侵害公民个人信息违法犯罪的第一仗,今后将始终对此类犯罪保持严打高压态势,坚决维护公民个人信息安全和人民群众合法权益。在强化打击的同时,公安机关将积极配合有关部门开展源头治理,堵塞监管漏洞,完善内部管理,采取切实有效措施保护公民个人信息安全。

公安机关提醒广大群众,要切实增强个人信息保护意识,不要轻信或轻易将个人信息提供无关人员;发现个人信息被泄露并造成严重后果的,要及时向公安机关报案。

律师:出售个人信息将被追究刑责

近日,记者采访了上海市律师协会信息网络与高新技术专业委员会主任商建刚律师。商律师表示,当今社会,消费者常常受到这样的侵害,去证券公司开个股票账户,从此各种投资理财、基金、贵金属交易、股票咨询的营销电话不断向其骚扰,去报名参加一个培训班,从此类似培训消息也络绎不绝,去看过一个楼盘,从此房产中介相关电话便不曾停歇等等。

商律师表示,2009年刑法修正案七出台,将出售个人信息的行为列入刑法。《刑法》第二百五十三条第三款明文规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。 ”

“这是我国对于个人隐私保护突破,接下来我认为,对于这种包含了大量客户个人信息的公司也要有一个约束,国外有法律规定,如果公司的客户信息被泄露,查实之后,公司方面将要面临非常高额的罚款,这就使得公司方面不得不详尽一切办法来保护自己客户的信息,所以这也是我国法律保护个人信息的一个趋势。 ”商建刚表示。

不少法律界人士指出,我国保护公民个人信息安全,最终是要通过专门立法,界定个人信息保护范畴,建立个人信息保护体系,完善信息安全监管机制,明确法律责任和追责标准。然而,自2003年就已开始酝酿的“个人信息保护法”,立法之路已近10年,由于多种原因,目前还未进入立法程序。远水难解近渴,在有关法律尚未出台的情况下,如何有效遏制当前利用个人信息违法犯罪的势头,是一个新课题。

责任编辑:蓝雨泪 来源: 牛网
相关推荐

2016-02-19 15:48:58

云计算华为

2009-10-13 15:11:29

2010-07-08 15:45:10

2013-07-26 09:25:31

2017-01-04 10:45:26

大数据商业银行应用

2009-03-12 16:17:28

array应用优化

2009-10-15 10:28:42

2011-01-21 09:55:07

2009-08-26 14:50:33

网上银行安全威胁威瑞信

2010-01-25 10:23:08

Oracle

2017-10-16 14:29:36

2012-04-05 12:25:27

2009-08-14 17:14:48

汇丰银行威瑞信EV SSL网上银行服务

2009-12-10 10:08:29

2009-12-15 17:26:18

2017-08-22 16:34:48

华为

2024-09-25 21:38:33

2012-02-23 17:03:37

2010-06-30 09:56:58

商业银行综合布线西蒙

2014-02-18 14:16:48

点赞
收藏

51CTO技术栈公众号