多家银行辟谣巨量客户信息外泄

　　早报记者 张飒 肖中洁 陈斯斯

　　实习生 黄樱 夏克余

　　昨日，针对国内多家银行巨量客户敏感信息外泄的传闻，涉及传闻的银行在第一时间作出官方澄清，并指传言“严重失实”。

　　当天，某网络群发表文章称，有网友爆料，国内多家银行的用户数据已经泄露，其中交通银行7000万用户，民生银行3500万用户。该网络群指出，根据网友提供的部分信息截图，泄露数据的银行包括交通银行、民生银行、工商银行等，数据包含了用户的姓名、卡号、密码等敏感信息。

　　就在上述传言通过网络、微博快速扩散的同时，部分未涉及传言的银行在当日下发风险提示，要求相关部门在内部进行相关风险评估。

　　“与网站相比，银行的信息安全防范系统在复杂度、安全度上高许多，并且与外网有物理隔离，但任何安全防范措施，我们都不能说100%没有隐患。”一股份制银行信息科技部门负责人昨日接受早报记者采访时说。

　　截至昨日17时，发布银行巨量客户敏感信息外泄传闻的相关微博已遭删除，最初流传该信息的某网络群因“发布非法信息”，同时遭到关闭。

　　“所谓泄密卡为无效卡”

　　交行昨日发布的声明表示，经核实，传闻纯属谣言，“交行采用了先进的密码硬加密技术和周密的安全防范措施。”交行同时保留追究法律责任的权利。

　　工行相关部门负责人昨日也在第一时间回应：“这一传言不符合实际，工行的客户信息和密码是安全的。 ”

　　上述负责人说，工行在系统中对于客户密码的存储与传输均采用加密方式，在与第三方公司的电子商务合作中，涉及的密码信息均要求在该行系统页面上进行操作。

　　该负责人进一步指出，网络传言中所谓泄露银行用户数据中所涉及的三张工行卡均为已注销的无效卡，且从相关文本数据结构含义上分析，其中包含了订单号等内容，可以判断信息不是来自银行数据库。

　　另一家卷入传闻的民生银行昨日亦在官方网站发表声明：“经查，此信息严重失实。”

　　银行保密靠“黑匣子”

　　多家银行的相关负责人指出，银行对客户密码等重要信息采取了“非常严格的措施和加密手段”，而从网友提供的所谓泄露信息的截图看，亦不可能来自银行的数据库。

　　这是因为，与一般网站对用户名、密码“明文存放”的方式不同，银行对用户密码进行存储和识别时都要经过多次变化，进而跟后台存储的经过变化之后的密码比对。也就是说，即便银行的数据库信息真的发生泄露，其泄露的密码信息由于是经过多次变化的密码形态，一般也无法被识别和使用。(编注：简单来说，明文密码就是没有隐藏、显而易见的密码，与之相对的是暗码，或称密文密码，指的是系统收到你的密码后，通过某种加密算法进行编译后，对编译结果进行保存。如果你的密码为12345，则明文密码显示为12345，暗码显示为*****。如果告诉你*****而不告诉你解码规则，你就很难翻译出12345。)

　　交通银行相关负责人昨日接受早报记者采访时指出：“首先，从客户信息方面来说，交通银行的系统从来不能对客户的信息进行巨量下载，有可能是客户在网上支付时将个人信息泄露出去的。其次，客户账号的密码会输入我们的‘黑匣子系统’(即让密码进行多次变化的系统)，这个信息是不可逆加密，要破解密码只能通过特定的算式推导，但是7000万这么巨量账户的密码想要被推导出来几乎是不可能的。”

　　昨晚，篱笆网联合创始人徐湘涛在接受早报记者采访时指出：“目前，大多数银行卡的密码是不可逆加密的，我做过十多个包括核心交易系统的银行卡相关项目，很确定系统里根本就不可能存在明文密码，也不存在所谓给安全部门留明文密码的后门，银监会在这方面也会有严格规定。”

　　所谓“不可逆加密”，指的是即使黑客能拿到网站用户账号的密文，也无法算出每个密文对应的明文，而明文就代表用户的姓名、密码等资料，因此银行卡的密码是不会这么轻易以明文形式泄露出来的。“银行用户在ATM或者POS键盘上输入自己的密码后，这个密码会在后台直接再次加密，在形成加密包后再传到主机。”

　　“由于网站的密码和客户资料是明文存放，工作人员想看是可以看到的，很多网站甚至还允许存储设备与工作系统相连接，那么把客户资料拷贝出来相当容易。但这些做法在银行都是不被允许的。此外，银行专有的网络，也与外界的网络隔离。”一国有大行数据中心人士表示。

　　数据外包泄密隐患

　　就在涉及传闻的银行在第一时间做出澄清的同时，昨日亦有部分银行在内部下发相关风险提示。

　　“与网站相比，银行的信息安全防范系统在复杂度、安全度上高许多，并且与外网有物理隔离，但任何安全防范措施，我们都不能说100%没有隐患。”某银行信息科技部门负责人昨日表示。

　　“相当多的客户喜欢把所有银行卡的密码都设置成一样的，我们是说万一，万一泄露的信息是真实的，必须在第一时间做出相应的风险评估和风险防范。”上述信息科技部门负责人称。

　　前述国有大行数据中心人士指出，从谨慎的角度考虑，个别银行对数据中心的部分业务外包某种程度上有导致客户信息资料外泄的风险。

　　值得一提的是，银监会2009年6月1日发布的《商业银行信息科技风险管理指引》对信息科技业务外包提出明确要求。比如涉及银行客户资料的外包在准备实施时应以书面材料正式报告银监会或其派出机构，并告知相关客户；又比如银行客户资料与外包服务商其他客户资料须有效隔离、按照“必需知道”和“最小授权”原则对外包服务商相关人员授权、要求外包服务商保证其相关人员遵守保密规定等。

　　亦有业内人士指出，客户资料也可能会通过网上支付、银行卡遭克隆，或者ATM机被装针眼摄像头等方式泄露。

　　“这些情况在前两年倒是经常有，近两年银行设备升级后不太可能出现类似情况，我们依然要求银行网点及时、定期对ATM机设备进行检查。”华东一银行信息科技相关负责人称。