隨著大數據時代的來臨,信息安全備受挑戰。日前,《中國經營報》記者注意到在暗網上有多名黑客稱掌握多家機構數據,公開叫賣包括河南中原消費金融股份有限公司(以下簡稱“中原消費金融”)、拍拍貸、宜人貸等多家互聯網金融平臺的借款人數據。
據暗網上其中一位賣家介紹,數據包括電話、身份證正反面、聯繫人電話,部分含有消費品憑證、以及通過讀取到的對應借貸人的通訊錄聯繫人信息。甚至還表示“贈送公司數據庫權限,所有參與催收公司的聯繫方式、發送的催收記錄。”
《中國經營報》記者嘗試聯繫疑似數據被販售的名單上公司,對方均表示未發現異常。那麼這些數據真實性幾何?洩露源頭在哪?
信息安全已成重災區
暗網交易市場懸掛著一則名為“河南中原消費金融持牌400w鮮活數據,本服務器持續更新”的交易帖,其中提到“中原消費金融創立到最近的M1、M2、M3,兩年間一共400多萬個借貸人信息,包括電話、身份證正反面、聯繫人電話”“當前售價2000BTC(截至11月29日比特幣行情摺合為人民幣5843萬元),10日以後0.001BTC(摺合為人民幣29.21元)公開低價拿走,拒絕國內網絡安全公司釣魚”“數據庫已被拖到國外服務器,付款後給鏈接自行下載,服務器在第三世界,永不被封。”
為此記者聯繫了中原消費金融,對方表示早在十多天前,公司在信息安全常規檢查中,第一時間發現了這個信息,當時公司高度重視,採取了針對網絡系統、服務器、數據庫包括相關人員的自查,沒有發現異常情況;還與鄭州市公安局網監支隊進行溝通與彙報,想借助他們的專業技術支持分析挖掘線索,也並未發現可疑線索,同時邀請了國內排名前三的信息安全機構,抽調專家過來對網絡安全進行排查,從技術分析沒有發現黑客入侵、獲取數據的痕跡。
“暗網上400萬的信息並非小數目,目前公司沒有這麼大的用戶量,銀監局也剛剛對公司進行了常規檢查。”中原消費金融方面表示。
不過在今年10月,中原消費金融總經理周文龍曾對當地媒體表示,公司註冊用戶數量突破700萬人,其中實名用戶達500萬,已經為超過190萬名客戶提供了消費貸款服務。記者打開中原消費金融APP也看到,註冊需要填寫的信息為手機號碼,如果需要使用功能,則需要身份證正反面的實名信息。
兜售宜人貸信息的賣家所提供的數據內容,包含聯繫人、月收入、工資發放形式、手機、工作時間、聯繫地址、貸款額度等信息,並給出了部分詳細信息。記者致電上述數據中多位當事人,他們表示個人信息真實,但並未在宜人貸上借過款。
其中一名當事人表示,“我投資過一些P2P產品的時候也留下過這個地址,關於我的聯繫地址、電話、月收入、工作時間確實沒錯。”
數據列表裡一位男士對記者表示:“你說的信息是對的,這個地址是我身份證上的,對於信息洩露原因我沒有頭緒,對於信息被洩露這件事情我也無可奈何。”
值得注意的是,網頁顯示這份1萬條個人隱私信息真實、來源尚待核實的數據已經以14.74美元被販售出去5次。
對此,宜人貸方面認為可能存在兩種情況:一是網上公開信息,被採集後冒名我司數據出售;二是其他平臺洩露的用戶數據,被販賣者以宜人貸用戶資料的名義出售,由於存在同一個借款人普遍會註冊多個平臺的現象,這些數據如果去匹配其他網貸平臺,也會有一定的命中率,不能引導或推理出這就是宜人貸的數據。建議對販賣信息數據現象進行報案,公安受理後,宜人貸安全部門會配合警方的調查及取證。
洩露可能性眾多
那麼這些或為“無主”的數據來源有哪些可能性?
有金融公司的工程師向記者分析道,數據洩露有兩種來源:一種是技術上從後臺數據庫導出,一種是業務人員從前臺導出。技術層面數據庫數據的洩露,有可能是公司技術人員非法拷貝數據庫中的數據,如果一家公司存在技術人員從生產拷貝庫的情況,則表明技術安全管理不到位;同時也有可能是被黑客攻擊導致脫庫。如果發生了數據庫數據洩露,一般情況來說,公司的系統都會有相應的信息安防措施,是由黑客攻擊導致的情況並不常見,但是黑客攻擊導致整個數據庫數據洩露的結果和影響通常會比較嚴重。“市面上最常見的是業務人員對客戶信息的洩露,將客戶的個人信息導出,進行倒賣。”該名工程師進一步補充。
同時,宜人貸也表示,數據洩露可能會有上百種方式,對於是否存在於“黑色產業”、是否存在於“線下渠道洩露”等暫時無法回答。目前經宜人貸安全部門及借款業務部門反覆排查和核實,近期平臺未發現有“因網絡攻擊而引起的信息洩露事件”。
同時,拍拍貸方面也表示經縝密調查,拍拍貸並不存在用戶數據洩露的問題。可能發生數據洩露的原因有很多種,如內部員工洩露、外部黑客攻擊等,對於由個別員工違規操作導致的信息洩露,拍拍貸也將採取法律手段進行嚴肅處理。
閱讀更多 巷尾拾儀 的文章
