信誉扫地!加鼎银行个人信息再次泄漏

七天记者 颜宏

2019年,6月20日北美最大的信用合作社加鼎银行集团(Mouvement Desjardins)总裁兼首席执行官Guy Cormie宣布该银行一名员工非法收集了270万个人和17.3万家企业的账户信息,并将其泄漏给第三方。被泄漏的信息包括客户的姓名、地址、出生日期、社会保险号码、电子邮件地址、电话号码和交易习惯等。这次账户信息泄露是加拿大金融机构有史以来规模最大的一次,信息被盗的客户占加鼎银行客户总量的41%。随着这一事件的曝光和调查的深入,19年11月爆出加鼎银行被泄露的个人数据高达420万人;19年12月,加鼎银行宣布还有180万信用卡用户和200百万保险用户的个人信息也被泄漏;到2019年年底,最终被多个部门证实的加鼎银行个人数据被盗数量达到970万人,其中近700万人是魁北克人。这些被泄漏的个人数据在暗网中多次、反复被售卖,什么人买了,买了后做什么没有人知道,但产生的后果将是严重而长期的,比如疫情下骗领联邦紧急救助款之类的骗术中,魁北克之所以成为重灾区就是因为许多受害者的身份信息都是通过加鼎银行发生的大规模数据泄露事件而被犯罪分子所掌握。

泄漏事件至今已经两年多了,警方的调查进展缓慢,至今还没有一个人被逮捕或指控,就连任内出现如此重大安全问题的总裁兼首席执行官Guy Cormie不仅没有承担任何责任,还在去年底获得全票通过继续担任总裁一职,再获4年任期。调查进展缓慢的一个原因就是为避免家丑外扬,加鼎银行不配合。

有办案警察表示加鼎银行为了不让公众知道其管理不善的内幕不仅不配合警方的调查,还阻挠警方获得部分证据。在2020年12月14日,加拿大和魁北克隐私专员都曾发布的各自调查报告,报告结论都指出加鼎银行在长达26个月里并没有对敏感的个人信息进行保护,对存在严重的信息安全漏洞置若罔闻。营销部门的员工可以没有限制的查看客户信息,还可以自己运行脚本下载、拷贝数据,并存在USB里面。所有的电脑都没有对使用USB进行限制,任何人都可无限度的下载数据库的内容等等。而这个安全漏洞加鼎银行是知道的,因为早在26个月前,就有人报告了这个安全漏洞,期间还有两个类似的警报被提交,但加鼎银行什么改正措施都没有采取,直到2018年12月Laval出现诈骗案件,Laval警方找上门来,又花了好几个月的时间才确定了该银行的客户信息遭到泄露以及泄露的可能来源,加鼎银行也是在警方的帮助下才锁定了这名“内鬼”的身份。

在盗窃案发生两年后,又一起个人银行信息泄漏佐证了加鼎银行对隐私数据管理的随意和不加控制。这次事件的导火索是去年7月,一名蒙特利尔的消防员向加鼎银行投诉,指出蒙特利尔消防员协会负责财务的François Rosa不知道怎么知道其银行账户的情况,要求加鼎银行给个说法。

加鼎银行调查后给出的回复是有人不经授权查看了这名消防员的账户,还有另外一名消防员的银行账户也被非法查看,而值得玩味的是François Rosa的妻子Julie Chassé就在加鼎银行工作,主要负责涉及消防员、蒙特利尔市政蓝领工人等的银行业务,还是主要负责人之一。不过在这起消防员银行信息泄漏案中,加鼎银行拒绝回应Julie Chassé是否参与其中,只是含混地表示,作为管理职责的一部分,管理人员可以合法地访问银行客户的文件以便执行工作。自加鼎银行发生大规模数据泄漏以来,加鼎银行坚持认为其员工“始终遵守”职业道德规范。

目前蒙特利尔消防员协会已经对此事提起调查,François Rosa则在今年2月份开始停职等待调查结果。鉴于无罪推定的原则,他在停止期间工资照发,作为消防员队长他的薪水是一年9.5万元,再加上承担工会工作获得的3.5万元补贴,等于市政府一年付给他13万元让他待在家里什么事情都不做。