如果“泄密门”不再是局限于互联网世界的一场风波,而向现实生活蔓延,甚至威胁到我们每个人的财产安全……昨日的一条“上亿银行密码泄露”的谣言,向人们揭示,虽然这种情境尚未出现,但一份警惕很有必要。
昨日,一家知名互联网资讯平台发布消息称,据网友爆料,国内多家银行的用户数据已经泄露,其中交通银行7000万,民生银行3500万;数据包含了用户的姓名、卡号、密码等敏感信息。
当天下午,交行、民生、工行等纷纷发表声明否认用户账号被泄密。业内专家则指出,银行卡交易系统不可能存在明文密码,但银行信息安全依然值得关注。
银行:信息“不是来自银行数据库”
昨日,交行发布官方公告称:“我行关注到有网络传闻称交通银行(4.46,0.00,0.00%)等多家银行巨量用户资料外泄,经核实,该传闻纯属谣言。”
交行方面表示,交行对于信息安全工作历来高度重视,该行采用了先进的密码硬加密技术和周密的安全防范措施,确保为所有客户提供安全高效的金融服务。
根据公开资料,所谓“硬加密”,就是不光靠密码解密,还必须有一个外在于密码系统的物理密钥,比如发送到手机的动态口令或者U盘密钥,其安全性通常高于单靠密码的“软加密”方式。
民生银行(5.86,0.04,0.69%)昨天也发布声明表示:“12月29日,有微博说有我行客户信息遭泄露。经查,此信息严重失实。”
此外,工行相关部门负责人则回应称:网络传言中所谓泄露银行用户数据中所涉及的三张该行卡均为已注销的无效卡,且相关文本中包含了订单号(OrderID)等内容,可以判断信息不是来自银行数据库。”该人士说。
交行信息技术管理部总经理麻德琼(微博)则在其微博上解释道:“从微博截图的页面来看,显然不是银行的系统页面,况且银行的密码设置是全程硬加密的,不可能在银行外部的系统上显示。”
“从截图中的密码来看,不可能是银行卡密码。”篱笆网创始人徐湘涛昨天接受《第一财经日报(微博)》记者采访时表示,“卡号和姓名之类信息泄露的可能性是有的,但里面所谓银行卡密码毫无疑问是假的。”
曾参与开发银行卡相关系统的徐湘涛说:“通常银行卡的密码是不可逆加密的,系统里根本就不可能存在明文密码,也不存在所谓给安全部门留明文密码的后门。”
但国内银行的安全问题依然值得关注,“银行在很多环节采用普通电话、邮件文本附件传送交易指令和数据,这很容易在某一环节就被截取信息。”徐湘涛说。
疑似第三方支付平台泄密有业内人士猜测,如果截图和文件是真实的,最大可能性是第三方支付平台的数据库被盗取,密码则是第三方支付平台的支付密码。
但一家第三方支付公司相关负责人则对本报记者表示,截图来自第三方支付平台数据的可能性不大。“首先,支付机构并未与商业银行共享包括卡密码等在内的客户信息;其次,从截图看,露出密码部分均为数字,而大多数支付密码为拼音、数字、符号等不同种类组成。”
该支付机构人士认为:“这更可能是一份钓鱼网站多方获得信息的汇总。”
事实上,近期第三方支付平台支付宝(微博)也深受用户资料泄密困扰。此前有消息称,支付宝用户信息大量外泄,被用于网络营销,泄露的支付宝用户信息总量达1500万~2500万之多,但泄露信息只限支付宝用户的账号,没有密码。
支付宝官方昨日则回应称:“我们承诺没有任何人能从支付宝获得用户的密码等私密信息。”
近期以来,有黑客在互联网上公开提供包括人人网、猫扑、多玩、天涯等在内的网站部分用户数据库下载,国内知名的社区网站天涯网的用户隐私也遭到黑客泄露,数量达到4000万。
徐湘涛就提醒,营销公司、诈骗团伙对用户信息,包括SNS关系很感兴趣,“最好是各站用户名邮箱密码均不同,至少支付等重要密码和普通的网站要不同。”
