七天记者 梓丰
盗窃了加鼎银行集团(Mouvement Desjardins)近300万个人和公司信息的“家贼”终于在本地电视台TVA的调查节目《J.E.》团队三个多月的苦苦追索下露出了真面目。既不是人们想象中的技艺高超的电脑黑客,也不是有着多么暗黑历史的社会边缘人,实际上是一个跟你我一样的普通人。这位已经被加鼎银行开除的员工名叫Sébastien Boulanger Dorval(以下简称SBD),今年38岁,两个孩子的父亲,没有任何犯罪前科。他原来在加鼎银行位于Levis的总部工作,职务是市场顾问(Conseiller marketing et segmentation),年薪包括工资、奖金等约10万元,住在距离工作地点25公里的Saint-Charles-de-Bellechasse小镇。市场顾问的工作说白了就是销售,具体点说就是每天跟加鼎银行现有的客户联系,向他们推销该银行提供的金融产品和服务,所以他可以很轻易地接触到几乎所有的该银行客户信息。
今年6月20日,北美最大的信用合作社加鼎银行集团总裁兼首席执行官Guy Cormie宣布该银行一名员工非法收集了270万个人和17.3万家企业的账户信息,并将其泄漏给第三方。被泄漏的信息包括客户的姓名、地址、出生日期、社会保险号码、电子邮件地址、电话号码和交易习惯等,因这名工作人员没有权限接触到账户密码、个人识别码(PIN)以及安全问题等,这些敏感的安全信息得以侥幸逃过一劫。其实这起史无前例的信息泄露案最早被注意到是在2018年12月,加鼎银行注意到一笔在Laval发生的欺诈银行交易,随即向Laval警方报警。警方即开始启动调查,花了好几个月的时间才确定了该银行的客户信息遭到泄露以及泄露的可能来源,加鼎银行也在警方的帮助下锁定了这名“内鬼”的身份。
轻易拷贝
Sébastien Boulanger Dorval, 38岁
这次加鼎银行的客户信息泄露案是加拿大金融机构有史以来规模最大的一次,信息被盗的客户占加鼎银行客户总量的41%,也占魁省人口的三分之一。导致这场震动了整个魁省的个人信息灾难,让无数无辜的个人或家庭被动的承受精神和经济上损失的始作俑者SBD,却普通的无法再普通。据悉,他所在的部门共有50多名员工,他们每天的工作就是进入加鼎银行的内部系统FMCDI,这个系统里包括银行全部的客户资料,每个人都可以不受限制的调出任何人的资料,还可以拷贝、传输,等于说在案发前,加鼎银行没有对这些敏感的个人信息采取任何保护措施,就连加鼎银行总裁Guy Cormie的个人资料也在被盗范围内也足以说明这一点。
自从SBD被加鼎银行开除以来,就再也没有回到家里去住,而是躲在一栋简陋的出租房里。在记者叫开房门时,他飞速的躲进了另一个房间。他的同居女友则表示知道早晚有一天媒体会找上门来,反复对记者说他其实是个很善良的人,从来没想过伤害别人,也从来没想到会发生这样的事情,而现在所有的压力都在他身上……总之就是这个“盗贼”承受着各种不容易,而那些无辜的受害者都没在他们的考虑范围内。饭桌上则摆着加鼎银行发给SBD的信件,上面显示其账户内资金不足,支票被退回。
这期间SBD在屋内和自己的律师通话,然后拿着电话走了出来,要求记者与电话那头的律师通话。他的头发蓬乱,胡子看起来也好多天没刮,精神很差。在记者和他的律师达成口头协议后,SBD在事发后第一次面对公众开口说话,但他说的第一句依然是“我”如何如何。面对记者的镜头,他居然没有一点对那些信息被泄露人员的歉意,一直强调经过这次事件后,“自己的生活被毁了”,自己有家不能回,不得不躲起来,因为受到了死亡威胁,他得时刻当心;有人威胁要烧他的房子;有人扬言看见他就要打他,所以不得不藏起来;他有两个孩子,但现在都完了…… 他还坦诚自己只是把一些客户资料拷贝到了两个USB里,并把它们给了别人,作为回报,他收到了几千块的超市礼品卡和Saint-Hubert烤鸡店礼品卡,似乎完全没有意识到自己的行为是严重的犯罪,会损害千千万万人的利益。
在近半个小时的采访中,这位看起来很颓丧的前加鼎银行员工除了在抱怨自己目前的境遇外就是在控诉自己只是“背锅侠”,说所有的事情都落在自己的背上,而其他人好像什么都没有发生,那替谁背的锅?他们一直欲言又止,表示警方的调查正在进行中,不方便透露过多信息,但为了洗清自己,他们还是一一交待了。
灰色链条
他口中提到的其他人第一个名叫Jean-Loup Leullier-Masse(以下简称JLL),27岁,是私人放债公司Pret Argent 500的员工,他自己的名下也有两间放债公司,分别是Financière Blackstone 和Solutia Finance,这两间公司直到今年6月份还一直在运营。Blackstone公司在2018年曾接到消费者办公室(Office de la protection du consommateur)发出的书面警告,指控该公司违反一系列法律法规,放债利息高达年467%,远远高于刑法规定的最高限60%。
Jean-Loup Leullier-Masse,27岁
一切都源于2017年冬季的一天,SBD的女友和她的闺蜜组织了一场各带男友的饭局,而这个闺蜜当时的男友就是JLL,这是他们第一次见面。就是在这次聚会上,JLL鼓动SBD利用自己的职务之便提供一些客户资料,他可以购买这些资料,因为这些资料可帮助JLL联络到有可能需要借款的客户。于是,在2017年12月,SBD就用一个USB给他拷贝了几千个加鼎银行的客户资料。在当时,加鼎银行没有任何保护客户信息的措施,也没有查询这些信息的历史记录。在警方通知加鼎银行可能有大规模信息泄露时,加鼎银行甚至不知道到底有多少客户的信息被盗,更不知道谁的资料被盗。直到2019年5月27日,加鼎银行以民事起诉获得法庭的搜查令,在SBD的家中发现了两个记录着客户信息的USB,加鼎银行才知道有近300万客户的信息被泄露。但不知道加鼎银行出于什么目的,这次搜查得到的所有证物包括这两个USB都被加鼎银行留存,至今没有交给警方,也不让警方查询,这也是SBD至今没有被正式指控的主要原因之一。
更让人感到后怕的是,在发现的USB上标有1/3以及2/3,根据推断,应该还有个3/3才对,但到目前为止,无论是加鼎银行还是警方都没有找到那第三个USB。如果第三个USB确实存在的话,个人信息遭到泄露的可能远不止已经公布的那290万,有可能所有加鼎银行的客户信息都已经被泄露。
只有27岁的JLL名下除了那两个公司,还有四处地址,三处为办公地点,一处为住宅,分别在魁北克城、Levis, Montmagny和Cap Saint-Igance,但所有地址都找不到人。可以肯定的是,他依然是自由身,照常工作。
根据警方的推测,JLL并不满足于自己使用这些信息,还将这些信息当摇钱树。不仅将它们卖给了贷款经纪Mathieu Joncas和François Baillargeon-Bouchard,还把这些信息在暗网上销售,但到目前为止,警方还无法证明这一点。
Mathieu Joncas是私人借款公司 Capital garanti的老板。警方曾在9月18日搜查了他的住处,他对警方表示使用这些被盗的个人信息只是为了更好的了解客户,以便向他们推销自己的金融产品。
这名只有34岁的年轻人住在Lac-Beauport一所价值超过百万的豪宅内,在Chaudière-Appalaches地区的Saint-Aubert有座豪华度假屋,还在魁北克城的Limoilou区拥有一套公寓。他还是抵押中心Centres hypothécaires Dominion Accès inc公司的老板,Mathieu Joncas在2014年被魁省自律房地产组织(Organisme d’autoréglementation du courtage immobilier du Québec)罚款3600加元,原因是他鼓励自己旗下两名没有任何资格执照的员工从事抵押经纪的工作。
Mathieu Joncas,34岁
François Baillargeon-Bouchard,30岁,是一名注册储蓄和保险经纪人。他和Mathieu Joncas成立了一间名叫Bouchard Joncas Investissement的金融理财公司。他也过着奢侈的生活,在Cap-Rouge地区拥有两座豪宅,还和女友一起在魁北克城地区购置了170万元的物业。
利用这些个人信息,他可以知道某个人的资产状况,喜欢投资哪个领域,房屋按揭或保险什么时候到期需要更新等重要信息,知道了这些信息,他在和客户沟通额时候就可以有的放矢的提供客户所需要的服务。
François Baillargeon-Bouchard,30岁
除了上面提到的四个人外,进入警方视野的还有33岁的Juan Pablo Serrano,这位加密币的爱好者是警察局的常客,不仅喜欢豪车,经常驾驶兰博基尼、迈凯伦跑车,还经常进出监狱,去年刚刚坐完10个月的监牢被释放。他的主要罪名包括伪造信用卡、妨碍公职人员执行公务、盗窃、诈骗等等。警方认为他从暗网上获得这些加鼎银行客户个人信息的主要目的是盗窃这些人的身份进行诈骗,还怀疑他为有组织犯罪集团工作。
在加鼎银行的客户数据遭到泄露后,魁省安全局(Sûreté du Québec)即成立了一个名为Projet Portier的特别调查组。截止到目前,这个调查组已经调动了200名警察,在魁北克城地区、大蒙特利尔地区询问了91人,搜查了四所住宅和两处办公室,其中17人具有重大嫌疑,前面提到的这五人只是其中的几个,但截至到目前为止指控任何人。
加鼎银行失窃数据的走向
长远影响
信息安全专家Alain Giai认为这些个人数据一旦泄露,就会在暗网上出售,而且会被一次又一次反复的出卖,所以影响将是长远的,现在没有发生欺诈并不等于未来不会有。
加拿大反欺诈中心(Centre antifraud du Canada)的数据也显示﹐在北美平均每三秒就会发生一起与个人信息被盗相关的欺诈案件发生,每年有大约2.7万名加拿大人报称身份被盗窃,而这只是冰山的一角。2018年,魁省民众因身份被盗引起的经济损失高达500万加元。
就在加鼎银行的客户信息泄露案发生不久,美国第五大信用卡发行商COF(Capital One Financial Corp)也发生大规模个人信息泄露事件,约1.06亿信用卡客户的信息被泄露,其中包括600万加拿大客户。再加上以前发生的蒙特利尔银行、加拿大帝国商业银行以及加拿大航空公司客户信息泄露案,一些信息专家估计所有加拿大成年人的个人信息都已经流传到网上,每个人都有可能成为潜在的身份盗窃受害者。