重庆分站
重庆分站
当天,某网络群发表文章称,有网友爆料,国内多家银行的用户数据已经泄露,该网络群指出,根据网友提供的部分信息截图,泄露数据的银行包括交通银行、民生银行、工商银行等,数据包含了用户的姓名、卡号、密码等敏感信息。
就在上述传言通过网络、微博快速扩散的同时,部分未涉及传言的银行在当日下发风险提示,要求相关部门在内部进行相关风险评估。
截至昨日17时,发布银行*量客户敏感信息外泄传闻的相关微博已遭删除,*初流传该信息的某网络群因“发布非法信息”,同时遭到关闭。
交行昨日发布的声明表示,经核实,传闻纯属谣言,“交行采用了先进的密码硬加密技术和周密的安全防范措施。”交行同时保留追究法律责任的权利。工行相关部门负责人昨日也在**时间回应:“这一传言不符合实际,工行的客户信息和密码是安全的。 ”
该负责人进一步指出,网络传言中所谓泄露银行用户数据中所涉及的三张工行卡均为已注销的无效卡,且从相关文本数据结构含义上分析,其中包含了订单号等内容,可以判断信息不是来自银行数据库。
多家银行的相关负责人指出,银行对客户密码等重要信息采取了“非常严格的措施和加密手段”,而从网友提供的所谓泄露信息的截图看,亦不可能来自银行的数据库。
这是因为,与一般网站对用户名、密码“明文存放”的方式不同,银行对用户密码进行存储和识别时都要经过多次变化,进而跟后台存储的经过变化之后的密码比对。也就是说,即便银行的数据库信息真的发生泄露,其泄露的密码信息由于是经过多次变化的密码形态,一般也无法被识别和使用。
昨晚,篱笆网联合创始人徐湘涛指出:“目前,大多数银行卡的密码是不可逆加密的,我做过十多个包括核心交易系统的银行卡相关项目,很确定系统里根本就不可能存在明文密码,也不存在所谓给***门留明文密码的后门,银监会在这方面也会有严格规定。”
所谓“不可逆加密”,指的是即使黑客能拿到网站用户账号的密文,也无法算出每个密文对应的明文,而明文就代表用户的姓名、密码等资料,因此银行卡的密码是不会这么轻易以明文形式泄露出来的。“银行用户在ATM或者POS键盘上输入自己的密码后,这个密码会在后台直接再次加密,在形成加密包后再传到主机。”
“由于网站的密码和客户资料是明文存放,工作人员想看是可以看到的,很多网站甚至还允许存储设备与工作系统相连接,那么把客户资料拷贝出来相当容易。但这些做法在银行都是不被允许的。此外,银行专有的网络,也与外界的网络隔离。”一国有大行数据中心人士表示。
值得一提的是,银监会2009年6月1日发布的《商业银行信息科技风险管理指引》对信息科技业务外包提出明确要求。比如涉及银行客户资料的外包在准备实施时应以书面材料正式报告银监会或其派出机构,并告知相关客户;又比如银行客户资料与外包服务商其他客户资料须有效隔离、按照“必需知道”和“*小授权”原则对外包服务商相关人员授权、要求外包服务商**其相关人员遵守保密规定等。
亦有业内人士指出,客户资料也可能会通过网上支付、银行卡遭克隆,或者ATM机被装针眼摄像头等方式泄露。“这些情况在前两年倒是经常有,近两年银行设备升级后不太可能出现类似情况,我们依然要求银行网点及时、定期对ATM机设备进行检查。”华东一银行信息科技相关负责人称。
如何判断密码是否泄露?
用户想查询自己的用户名和密码是否泄露,可借助安全软件厂商的测试工具。以金山网络推出的快速查询服务为例,用户登录http://cs-test.ijinshan.com/security/,输入常用的用户名或者邮箱,就可查询此账号是否在当前已被公开的数据库中暴露。安全**提醒用户,*近出现了很多不知名网站制作的密码泄露测试软件,其中很可能含有病毒,建议用户不要随意测试。
如何设置更安全的密码?
对于密码设置,360安全**石晓虹博士提出了如下建议:用户分级管理密码,重要账号(如常用邮箱、网上支付、聊天账号等)单*设置密码;定期修改密码,避免网站数据库泄露影响到自身账号;工作邮箱不用于注册网络账号,以免密码泄露后危及企业信息安全;切勿将密码立档保存并告知他人。
金山网络安全**李铁军对设置密码给出的建议是:尽可能使用至少14个或更多字符;名字、生日、驾驶证、护照号码等个人信息不要用于设置密码;避免使用顺序相连或重复的字符。
小编结语:作为用户,我们要加强系统安全防护,落实相关网络安全防护标准,提高系统防入侵、防窃取、防攻击能力。要采用加密方式存储用户信息,**用户信息安全。一旦发生网络安全事件, 要在开展应急处置的同时, 按照规定向互联网行业主管部门及时报告。
