银保监会“放大招”:杜绝个人信息泄露!
2020-09-18 09:32:45
文章来源
中国银行保险报

  个人信息泄漏问题正在成为每个人的切肤之痛。从脱口秀演员池子对银行泄漏其流水的质疑,到频频出现的信用卡盗刷现象,再到央视“3·15晚会”曝光50多款移动客户端应用软件(APP)窃取用户隐私,这场关于“个人信息保护”的战役越来越激烈。

  

  由于个人信息和资金安全紧密相连,近年来,监管部门对于个人信息保护力度越来越大。近日,中国银保监会办公厅发布《关于银行保险机构互联网业务系统泄漏客户敏感信息的风险提示》(以下简称《风险提示》),要求各银行保险机构高度重视,有效防范和应对,确保不发生客户敏感信息泄露事件。

  

  不法分子无孔不入

  

  据了解,此次《风险提示》发布背景是由于某银行机构的微信银行系统存在安全漏洞被不法分子利用实施网络攻击,窃取大量客户敏感信息,进而盗取资金。

  

  具体来看,某银行机构因业务需要,在微信银行增加相关查询功能,用户在无需登录情况下输入本人身份证号码可查询在该机构已办理的银行卡号和柜面预留手机号等信息。不法分子则通过工具仿照公民身份证号码格式批量生成身份证号码,利用微信银行上述功能安全漏洞发起网络攻击,非法查询获取大量用户的姓名、银行卡号、柜面预留手机号等敏感信息。

  

  随后,不法分子在手机号码中筛选已停机、或停机后已被运营商重新出售的部分号码,通过新办或购买等方式控制相关手机号,进而获取短信验证码,实现在第三方支付平台注册、绑卡、交易等操作,非法盗取客户资金。

  

  银保监会认为,该事件主要反映了三个问题:

  

  一是微信银行系统存在重大安全漏洞。

  

  该机构微信银行在无需客户授权登录情况下,输入任何客户身份证号即可查询并显示该客户完整的银行卡号和柜面预留手机号,同时返回的系统报文数据中还附带了客户姓名、住址、单位等敏感信息,该功能既超出了业务需求规定的范围,又存在越权查询任意客户敏感信息的安全漏洞,是导致客户敏感信息大量泄露的直接原因。

  

  二是软件开发生命周期安全管控缺


责任编辑:刘悦

银保监会

个人信息

免责声明

发现网登载此文出于传递更多信息之目的,并不意味赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。违法、不良信息举报和纠错请联系本网。

  • 京ICP备05049267号

  • 京ICP备05049267号-1

  • 京公网安备11010102001063

  • 版权所有 发现杂志社