用户信息的安全性似乎真出了问题,昨日“泄露门”又有了升级版。在“天涯被黑”、“当当(微博)网用户资料泄密”事件之后,昨日,挨踢客网站上再爆猛料,有网友提供消息称,多家银行用户资料外泄。随后,涉及到的银行均对此事予以否认。
涉及银行齐否认“这纯属谣言”。该消息中所涉及到的银行随后均发布澄清公告,并异口同声地表示,经核查,网站上贴出来的用户信息均属伪造。
挨踢客提供的消息显示,国内多家银行的用户数据已经泄露,其中交通银行(4.46,0.00,0.00%)7000万、民生银行(5.86,0.04,0.69%)3500万。该网站称无法核实数据的真实性,但贴出的截图显示,泄露数据的银行包括交通银行、民生银行、工商银行(4.20,0.00,0.00%)等,数据包含了用户的姓名、卡号、密码等敏感信息。
工行相关负责人表示,网上贴出的所谓泄漏用户数据中所涉及的三张该行银行卡均为已注销的无效卡,且其中包含了订单号(OrderId)等内容,可以判断信息不是来自银行数据库。
此外,交通银行发布声明表示,将保留追究散步谣言者法律责任的权利。
“安全U盾”已不安全?
虽然各家涉及到的银行均对此事予以否认,但被誉为“中国黑客教父”的绿色兵团创始人GOODWELL在网上的一番话,却让不少人毛骨悚然。他表示,黑客技术日新月异,“安全U盾”早已被破解,“这次事件是蝴蝶效应的开始,未来信息安全数据可能触及移动终端,手机信息等也将不再安全”。
“这个不一定是U盾的问题。”有IT专业人士表示,之前CSDN、天涯等网站的密码泄漏或许与此次银行信息泄露有关联,“很多用户的银行卡密码和这些网站的密码是一样的,所以拿到这些泄漏的用户名和密码,去这些银行网站挨着试验就成了”。
中国金融认证中心技术支持部总经理马春旺表示,U盾本身的安全机制虽然没有问题,但可能在U盾应用的客户端、传输通道和服务器这三个环节上会被攻击。而当下,多数银行采用二代U盾,也就是增加人工干预的功能,用户可在交易前查看交易是否正确,并按下U盾上的按钮才可交易,以防止黑客在上述三个环节上的攻击。
专家称网银仍然安全篱笆网创始人徐湘涛在微博中表示,银行信息泄露“毫无疑问是假的”。他在微博上称:“银行卡的密码是不可逆加密的,我做过十多个包括核心交易系统的银行卡相关项目,整个系统都是我们一起开发上线的,很确定系统里根本就不可能存在明文密码,也不存在所谓给安全部门留明文密码的后门,不要唯恐天下不乱了”。
马春旺表示,现在网上银行仍然十分安全。一方面,在交易的过程中,银行都会提供多重密码予以保护。除了登录时的用户名和密码外,在交易时仍需一个与登录密码并不一样的交易密码,否则交易不能进行。另一方面,银行通常还会采取如动态口令、数字证书等多因素验证的方式确保银行交易的安全。
“银行的监管十分严格,管理也十分规范。”马春旺表示,银行的IT系统管理也是非常规范的,银行还会定时请第三方评估机构进行评估,对评估出来的脆弱点进行加固。
此外,马春旺表示,用户自身也应增强安全意识。当下互联网应用繁多,需要填写信息的地方越来越多,“对于不可信的网站,避免输入敏感信息”。