据江苏公共新闻,近日,江苏淮安警方破获了一起特大贩卖公民个人信息案,共抓获26名嫌疑人,涉案金额2000多万元。
 
淮安警方称,犯罪团伙通过现有的技术手段无法获取到如此大规模的公民个人信息,这些案件就可能有银行内部的工作人员参与其中。调查中发现,有一名建行工作人员仅靠帮忙查询银行卡信息,一年黑色收入超30万元。
 
这位建行员工称,自己查询了几百条个人信息,每条80到110元,并称自己不知道这是违法的,“只是觉得违反银行规定,因为我们银行不允许私自把客户信息泄露。”
 
图片来源:江苏新闻
 
银行员工出售客户信息年入30万
 
在这起涉及9个省份、公安部列为部督专案的案件中,早在2019年6月,有人在网上通过QQ等通信工具公开出售银行卡相关信息,包括银行卡对应的卡主身份证号码、电话号码、余额甚至交易流水,引起了警方注意。
 
图片来源:淮阴警方
一位男子王某称,在一个偶然的机会,他发现与银行卡相关信息售价动辄几百元,且需求量很大,于是他转行当起了“信息贩子”。接下来,他根据客户需要查询的不同银行卡,对应不同的上线查询渠道,并以经济利益诱惑,将一名建行员工拉下水。
 
这名建行员工供述,根据双方达成“合作”协议,他每查询1条银行卡相关信息,即可获利80~100元不等的报酬。光凭这一黑色收入,年收入就超过30万元。
 
一般来讲,像建行这名员工这样处在贩卖信息黑产链的第一环,他再联系中间商,为了安全起见,中间商一般只有一到两人,中间商下面还有各种分销商,层层代理,形成一个以银行“内鬼”为源头、大量中间商为中介,通过网络勾结、贩卖银行卡的相关身份证、电话号码、余额、交易记录的网络犯罪团伙。
 
淮阴分局网安大队大队长朱延亮称,因为层级很多,所以越到产业链的末端,信息的价格越高,从“内鬼”到销售末端,一条信息的价格可能翻上数倍,除了犯罪风险,没有其他成本,利润非常高。
 
淮阴警方称,目前,26名犯罪嫌疑人已被移交检察机关提起公诉。
图片来源:淮阴警方
 
银行APP的漏洞可能被黑客利用
 
此外,近来裁判文书网披露的多起案件显示,银行APP也成为被黑客“攻破”的突破口、非法盗取或入侵银行账户信息牟利。
 
2019年12月24日,浙江金华市婺城区人民法院对一起非法注册银行账户并出售获利的案件做出了判决。判处两名主犯有期徒刑4年3个月,并处罚金7万元;判处7名从犯有期徒刑1年6个月至2年3个月不等,并处罚金两万至四万不等。
 
判决书显示,短短的两个月,9名团伙利用“利用APP漏洞和使用抓包软件”,开设了10000余个银行三类账户,涉及华润银行、温州民商银行、金华银行、浦发银行、中国银行、招商银行、建设银行等多家银行。
 
2019年10月,只有初中文化的“00后”田某被福建省厦门市思明区人民法院以非法获取计算机信息系统数据罪判处有期徒刑三年,并处罚金人民币一万元。判决文书显示,田某在2019年1月5日至1月15日期间,通过软件抓包、PS身份证等非法手段,在厦门银行手机银行APP内使用虚假身份信息注册银行Ⅱ、Ⅲ类账户,非法销售获利。
 
在作案方法上,他们利用了类似的APP技术漏洞,跳过了银行开户所必须的“四要素”(即验证开户人姓名、手机号码、身份证号码以及绑定账户账号或卡号)验证。
 
具体来看,先输入本人身份信息,待进行人脸识别步骤时,利用软件抓包技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。随后,在输入开卡密码步骤,将APP返回到第一步(上传身份证照片之步骤),输入伪造的身份信息,并再次进入到人脸识别之身份验证步骤,此时,其上传此前拦截下来的包含其本人身份信息的数据包,使系统误以为要比对其本人的身份信息,最终完成开户。
 
图片来源:摄图网(图文无关)
中国信息通信研究院发布的《2019金融行业移动APP安全观测报告》显示,在对133327款金融行业APP进行扫描检测后发现,73.23%存在不同程度的安全漏洞,70.22%存在高危漏洞。平均每款金融行业APP存在20.3个安全漏洞,其中6.7个为高危漏洞。
 
监管部门正不断加强对消费者的保护
 
商业银行等金融机构掌握着大量用户,并且拥有非常关键的资金信息数据,但如果因为保护不善,导致个人信息泄露,将带来财产损失等个人影响,
 
据第一财经,一位银行业人士称,个人信息售卖可以短期、快速获利,当前,银行在个人信息安全保护制度上还有待健全,疏于对员工的管理,再加上员工法律意识淡薄,使得泄露现象屡禁不止。
 
近年来,监管机构已印发了一系列监管政策文件,要求银行保险机构认真贯彻落实个人信息保护方面的法律法规,加强客户隐私保护,对客户信息严格实行从采集到存储、销毁等全流程的制度化管理。
 
2019年12月,央行起草了《中国人民银行金融消费者权益保护实施办法(征求意见稿)》,向社会公开征求意见,正式实施后,规范将升级到部门规章级别。相信经过最近这一系列事情之后,国家会加速出台对公民信息保护的法律,强制性、有约束性的规范和措施将会出现。
 
4月22日,银保监会副主席黄洪在国新办新闻发布会上还强调,银保监会始终对侵害金融消费者权益、损害客户信息安全的行为坚持零容忍的态度,一经发现,将严肃依法查处,严厉打击。此外,银保监会高度重视银行保险机构网络安全工作,尤其把客户信息保护作为重中之重。