家贼难防 加鼎银行近3百万客户信息被泄始末
加鼎银行总裁兼首席执行官Guy Cormier和第一执行总裁 Denis Berthiaume来到新闻发布会现场 七天记者 颜宏 6月20日北美最大的信用合作社加鼎银行集团(Mouvement Desjardins)总裁兼首席执行官Guy Cormie宣布该银行一名员工非法收集了270万个人和17.3万家企业的账户信息,并将其泄漏给第三方。被泄漏的信息包括客户的姓名、地址、出生日期、社会保险号码、电子邮件地址、电话号码和交易习惯等,因这名“家贼”没有权限接触到账户密码、个人识别码(PIN)以及安全问题等,这些敏感的安全信息得以侥幸地逃过一劫。 这次账户信息泄露是加拿大金融机构有史以来规模最大的一次,信息被盗的客户占加鼎银行客户总量的41%。目前还不知道这些资料被泄露给了哪些个人或组织,将对客户造成什么样的损害。加鼎银行表示将为受影响的客户提供一年免费Equifax信用监控服务,后又延长至5年以及保额为5万元的身份盗窃保险。这个监控服务目前的费用是每月20元,5年之后如果客户希望继续维持这个服务则需要自己付钱。 Cormier还坚持认为银行的安全程序没有问题,是这名负责数据的员工经过缜密的计划,在赢得了其它同事的信任后,利用他们和他们的权限收集到了这些数据,是一个长期的过程,很难引起别人的注意。另外,他还强调家贼难防,发生在企业内部的欺诈是最难发现,也是最为复杂的行为。 补救 根据警方提供的资料,2018年12月,加鼎银行注意到一笔可疑交易涉及居住在Laval辖区的客户,随即向Laval警方报警。警方即开始启动常规监控,花了好几个月的时间才确定了信息可能泄露的范围。案发以来,加鼎银行一直在Laval警方的帮助下进行内部调查,最终锁定了这名“内鬼”的身份,随即他的内部访问权限被冻结,他设立的获取账户信息花招被捣毁,本人也被立即开除。这名泄密员工被警方逮捕并接受了询问,随后被释放。警方和加鼎银行都表示案件正在调查中,不方便透露这名嫌疑人的更多信息,只表示这是一名男性,在数据部门工作,被盗用户的信息在该人持有的几个USB上被找到。除了他被释放以等待进一步的司法程序之外,警方到目前为止还没有对他提出任何指控。 值得注意的是,Laval警方在5月份告知加鼎银行已经有部分账户的个人信息被泄露,但直到6月14日才通知加鼎银行受影响的客户范围之广,数量之庞大。加鼎银行也立刻加强了网络安全防范,加鼎银行的员工再也无法向外界传递信息,还收紧了银行柜台和电话中心的客户身份确认程序以及其他不能公布的安全措施。在加鼎银行的网站上还设立了一个微型网站窗口,以回答受影响客户提出的问题。加鼎银行正在利用特殊的程序对一些可疑网站进行扫描,试图发现属于该银行客户的个人信息来避免可能的欺诈。 这两周来,加鼎银行已经通过信函形式和所有受影响的客户进行沟通,为客户提供一个准入号码,客户可凭这个号码直接注册Equifax信用监控服务,为期5年。这个监控服务包括每天对数据库进行检查,以检测客户文档中的任何异常信息,比如您的信用突然发生重大变化,或者进行过可疑交易,再或者您的个人信息在被Equifax认定为欺诈的网站上被使用等等。一旦发现异常,客户会通过电子邮件或手机短信收到实时警报。如果发生了身份盗窃,Equifax的客户团队还会提供支持,并帮助客户找回损失的信用。但实际上,Equifax的系统在2017年被黑客攻破,高达1.43亿民众的个人信息外泄,包括姓名、生日、住址、社会保险号、驾驶证号码等,相当于接近每两个美国人中就有一个人的信息被泄露。 魁省金融市场管理局AMF(Autorité des marchés financiers)也在第二天发布了一系列针对欺诈的警告:首先,加鼎银行绝不会通过电话、短信或电子邮件询问或确认客户的个人信息,不论有人以什么理由试图获得您的个人信息都应该不理;其次,谨防钓鱼邮件,无论看起来多像真的,都不要点击陌生邮件里面的链接、图标等,也不要拨打里面的电话号码,如果想联系银行,请自行找到对的号码拨打;第三,发现有可疑联络,不要回答任何问题,及时报警。 反应 加鼎银行的信息泄露事件发生后,魁省政府包括省长François Legault和财政部长Éric Girard都表示了关注,并表示将尽力帮助受影响的加鼎银行用户。省长表示当一个企业内部的员工决定泄露机密信息时,无论制定什么样的安全措施,都是很难预防的,目前的当务之急应为弥补信息泄露的漏洞以及减轻有可能的损害,并回绝了魁省自由党(PLQ)、魁人党(PQ)以及魁省团结党(QS)提出的设立特别调查委员会以及更改现有个人信息相关的法律规章等提议。 魁省安全部长Geneviève Guilbault和Éric Girard也表示,通过和加鼎银行以及AMF高层的交流,对加鼎银行在事件发生后的应对措施表示满意,赞扬他们反应迅速,也希望他们吸取教训,弥补漏洞,防止类似的情况发生。魁省安全局(Sûreté du Québec)已经抽调相关领域的专家去增援Laval警方的调查。 魁省信息获取委员会(Commission d’accès à l’information du Québec)和加拿大隐私专员办公室(Commissariat à la protection de la vie privée du Canada)也在7月8日宣布启动联合调查,看加鼎银行在此次信息泄露事件中是否完全遵守信息法的规定,是否存在管理不善的行为等。 魁省安全局前经济犯罪主管Michel Carlos在接受采访时表示,这次被泄露的个人信息之全面可以让任何一个犯罪组织复制出另一个人出来,但犯罪组织可能不会立刻利用这些信息实施欺诈,受影响的客户将会在未来较长时间内缺乏安全感。根据他个人的经验,这些通过非法手段获得的个人信息可能已经售卖,在暗网(Dark web)上,个人信息一般以1,000-5,000人为一组打包销售。 为了避免可能的身份盗窃,加鼎银行的许多客户认为仅5年的Equifax信用监控服务远远不够。从根本上杜绝因这次信息泄露事件导致的身份被盗可能性的方法是更换每个人受影响客户的身份标识——社会保险卡号(SIN)。因此当Pierre Langlois在网上发起更换SIN卡号的请愿书后,一呼百应,短短两天就获得了8万5千个签名。社会保险号是一组9位数的号码,每个加拿大人的唯一识别号码。犯罪分子可以凭借这个号码轻易锁定个人信息,结合用SIN卡收集到的其他个人信息,可以受害者的名义申请信用卡或是开设银行账户、申请贷款、租用车辆、设备甚至卖掉房子等开展各种欺诈行为,而留下受害者去支付账单、费用、空头支票、未缴税款等等。但加拿大信用办公室(Bureau canadien du crédit)的Sylvain Paquette认为针对加鼎银行的这次危机,更换SIN卡号并不是当务之急,只会增加政府行政程序的堵塞,并不能避免欺诈;即使更换了该号码,受害者要通知所有有关机构,即使一家通知不到,欺诈依然有可能发生。 泄密事件公布后24小时后,针对加鼎银行的两起集体诉讼就已经提交到了法庭,一起诉讼要求加鼎银行赔偿每个受影响客户300元,并取消每月的银行费用;另一起则要求赔偿2.9亿元,平均到每名客户身上约1100元。 服务 信息泄露事件发生后,本来受加鼎银行委托提供信用监控服务的Equifax却很不给力:登记的网页长时间打不开或官网干脆打不开;服务电话等候时间过长没人接,有人表示在线上等了4个小时依然没有等到有人回应;客户服务的人员不说法语,只提供英语服务等等,让受到影响的客户在焦虑的同时又多了层堵心。接到客户投诉的加鼎银行紧急联络Equifax,要求他们改善服务。截止到记者发稿时为止,Equifax的网络速度已经回复到正常的水平,电话服务的等待时间也缩短到5-10分钟。 … Read more