加鼎银行总裁兼首席执行官Guy Cormier和第一执行总裁 Denis Berthiaume来到新闻发布会现场
七天记者 颜宏
6月20日北美最大的信用合作社加鼎银行集团(Mouvement Desjardins)总裁兼首席执行官Guy Cormie宣布该银行一名员工非法收集了270万个人和17.3万家企业的账户信息,并将其泄漏给第三方。被泄漏的信息包括客户的姓名、地址、出生日期、社会保险号码、电子邮件地址、电话号码和交易习惯等,因这名“家贼”没有权限接触到账户密码、个人识别码(PIN)以及安全问题等,这些敏感的安全信息得以侥幸地逃过一劫。
这次账户信息泄露是加拿大金融机构有史以来规模最大的一次,信息被盗的客户占加鼎银行客户总量的41%。目前还不知道这些资料被泄露给了哪些个人或组织,将对客户造成什么样的损害。加鼎银行表示将为受影响的客户提供一年免费Equifax信用监控服务,后又延长至5年以及保额为5万元的身份盗窃保险。这个监控服务目前的费用是每月20元,5年之后如果客户希望继续维持这个服务则需要自己付钱。
Cormier还坚持认为银行的安全程序没有问题,是这名负责数据的员工经过缜密的计划,在赢得了其它同事的信任后,利用他们和他们的权限收集到了这些数据,是一个长期的过程,很难引起别人的注意。另外,他还强调家贼难防,发生在企业内部的欺诈是最难发现,也是最为复杂的行为。
补救
根据警方提供的资料,2018年12月,加鼎银行注意到一笔可疑交易涉及居住在Laval辖区的客户,随即向Laval警方报警。警方即开始启动常规监控,花了好几个月的时间才确定了信息可能泄露的范围。案发以来,加鼎银行一直在Laval警方的帮助下进行内部调查,最终锁定了这名“内鬼”的身份,随即他的内部访问权限被冻结,他设立的获取账户信息花招被捣毁,本人也被立即开除。这名泄密员工被警方逮捕并接受了询问,随后被释放。警方和加鼎银行都表示案件正在调查中,不方便透露这名嫌疑人的更多信息,只表示这是一名男性,在数据部门工作,被盗用户的信息在该人持有的几个USB上被找到。除了他被释放以等待进一步的司法程序之外,警方到目前为止还没有对他提出任何指控。
值得注意的是,Laval警方在5月份告知加鼎银行已经有部分账户的个人信息被泄露,但直到6月14日才通知加鼎银行受影响的客户范围之广,数量之庞大。加鼎银行也立刻加强了网络安全防范,加鼎银行的员工再也无法向外界传递信息,还收紧了银行柜台和电话中心的客户身份确认程序以及其他不能公布的安全措施。在加鼎银行的网站上还设立了一个微型网站窗口,以回答受影响客户提出的问题。加鼎银行正在利用特殊的程序对一些可疑网站进行扫描,试图发现属于该银行客户的个人信息来避免可能的欺诈。
这两周来,加鼎银行已经通过信函形式和所有受影响的客户进行沟通,为客户提供一个准入号码,客户可凭这个号码直接注册Equifax信用监控服务,为期5年。这个监控服务包括每天对数据库进行检查,以检测客户文档中的任何异常信息,比如您的信用突然发生重大变化,或者进行过可疑交易,再或者您的个人信息在被Equifax认定为欺诈的网站上被使用等等。一旦发现异常,客户会通过电子邮件或手机短信收到实时警报。如果发生了身份盗窃,Equifax的客户团队还会提供支持,并帮助客户找回损失的信用。但实际上,Equifax的系统在2017年被黑客攻破,高达1.43亿民众的个人信息外泄,包括姓名、生日、住址、社会保险号、驾驶证号码等,相当于接近每两个美国人中就有一个人的信息被泄露。
魁省金融市场管理局AMF(Autorité des marchés financiers)也在第二天发布了一系列针对欺诈的警告:首先,加鼎银行绝不会通过电话、短信或电子邮件询问或确认客户的个人信息,不论有人以什么理由试图获得您的个人信息都应该不理;其次,谨防钓鱼邮件,无论看起来多像真的,都不要点击陌生邮件里面的链接、图标等,也不要拨打里面的电话号码,如果想联系银行,请自行找到对的号码拨打;第三,发现有可疑联络,不要回答任何问题,及时报警。
反应
加鼎银行的信息泄露事件发生后,魁省政府包括省长François Legault和财政部长Éric Girard都表示了关注,并表示将尽力帮助受影响的加鼎银行用户。省长表示当一个企业内部的员工决定泄露机密信息时,无论制定什么样的安全措施,都是很难预防的,目前的当务之急应为弥补信息泄露的漏洞以及减轻有可能的损害,并回绝了魁省自由党(PLQ)、魁人党(PQ)以及魁省团结党(QS)提出的设立特别调查委员会以及更改现有个人信息相关的法律规章等提议。
魁省安全部长Geneviève Guilbault和Éric Girard也表示,通过和加鼎银行以及AMF高层的交流,对加鼎银行在事件发生后的应对措施表示满意,赞扬他们反应迅速,也希望他们吸取教训,弥补漏洞,防止类似的情况发生。魁省安全局(Sûreté du Québec)已经抽调相关领域的专家去增援Laval警方的调查。
魁省信息获取委员会(Commission d’accès à l’information du Québec)和加拿大隐私专员办公室(Commissariat à la protection de la vie privée du Canada)也在7月8日宣布启动联合调查,看加鼎银行在此次信息泄露事件中是否完全遵守信息法的规定,是否存在管理不善的行为等。
魁省安全局前经济犯罪主管Michel Carlos在接受采访时表示,这次被泄露的个人信息之全面可以让任何一个犯罪组织复制出另一个人出来,但犯罪组织可能不会立刻利用这些信息实施欺诈,受影响的客户将会在未来较长时间内缺乏安全感。根据他个人的经验,这些通过非法手段获得的个人信息可能已经售卖,在暗网(Dark web)上,个人信息一般以1,000-5,000人为一组打包销售。
为了避免可能的身份盗窃,加鼎银行的许多客户认为仅5年的Equifax信用监控服务远远不够。从根本上杜绝因这次信息泄露事件导致的身份被盗可能性的方法是更换每个人受影响客户的身份标识——社会保险卡号(SIN)。因此当Pierre Langlois在网上发起更换SIN卡号的请愿书后,一呼百应,短短两天就获得了8万5千个签名。社会保险号是一组9位数的号码,每个加拿大人的唯一识别号码。犯罪分子可以凭借这个号码轻易锁定个人信息,结合用SIN卡收集到的其他个人信息,可以受害者的名义申请信用卡或是开设银行账户、申请贷款、租用车辆、设备甚至卖掉房子等开展各种欺诈行为,而留下受害者去支付账单、费用、空头支票、未缴税款等等。但加拿大信用办公室(Bureau canadien du crédit)的Sylvain Paquette认为针对加鼎银行的这次危机,更换SIN卡号并不是当务之急,只会增加政府行政程序的堵塞,并不能避免欺诈;即使更换了该号码,受害者要通知所有有关机构,即使一家通知不到,欺诈依然有可能发生。
泄密事件公布后24小时后,针对加鼎银行的两起集体诉讼就已经提交到了法庭,一起诉讼要求加鼎银行赔偿每个受影响客户300元,并取消每月的银行费用;另一起则要求赔偿2.9亿元,平均到每名客户身上约1100元。
服务
信息泄露事件发生后,本来受加鼎银行委托提供信用监控服务的Equifax却很不给力:登记的网页长时间打不开或官网干脆打不开;服务电话等候时间过长没人接,有人表示在线上等了4个小时依然没有等到有人回应;客户服务的人员不说法语,只提供英语服务等等,让受到影响的客户在焦虑的同时又多了层堵心。接到客户投诉的加鼎银行紧急联络Equifax,要求他们改善服务。截止到记者发稿时为止,Equifax的网络速度已经回复到正常的水平,电话服务的等待时间也缩短到5-10分钟。
面对受影响客户的怒火和Equifax的不给力,加鼎银行不得不亲自上阵,抽调了1,000名工作人员接电话,组织了3,000人轮换,解答客户的提出的任何问题并帮助客户开通信用监控服务。还公布了电话开通热线,自本周一起,客户可拨打1-800-CAISSES通过电话来开通监控服务;自本周中期,也可以在通过网上银行账户进行。
加鼎银行正在跟另一家提供类似服务的公司Transunion协商,为受影响客户提供类似Equifax的信用监控服务,以尽可能堵死所有的欺诈可能。
地狱
泄密事件发生后,已经有很多客户报告收到骗子的欺诈电邮或者短信,内容多是告知他们的信息被泄露,要求他们点击链接或回短信来确认身份。还有人已经受骗,Stéphane Lemay就是其中的一员,他愿意用自己“地狱”般的经历来提醒民众注意。
6月21日,Stéphane Lemay收到一条类似的短信,要求填写了一份用于“保护银行资料”的在线表格。他本来就在担心自己是否是受害者,看到后没有多想就点击了上面的链接,链接将他转移到一个网页上,该网站看起来很像加鼎银行的网站,还有银行的logo,地址看起了也对。页面上要求他回答一些问题,特别是有关他母亲的信息以及住址。
在回答这些问题几个小时后,Stéphane接到了第一个陌生电话。他没有回应。第二天,他接到了另外两个陌生电话,其中包括一个来自Lévis地区的,但电话接通后,对方说拨错了号码。
21日晚间,他收到加鼎银行发来的电子邮件,确认他把1,980元转给了一个在Prairie开户的加鼎银行账户,他马上回复拒绝这笔交易。几天后,加鼎银行把这笔钱给他补了回来。
接着,Stéphane发现自己的Facebook账户和个人电子邮件密码被人更改,自己再无法进入;自己在Rogers的手机账户被取消,有人以自己的名义在Bell、Telus 以及其他三个Rogers子公司开通了新的账户;自己的银行卡被挂失,有人申请了另一张新卡;一个露营地要求他支付500元押金的信息以及以他的名义发给自己爱人的手机短信等等。
自6月21日到7月8日期间,Stéphane说他几乎什么都没做,就是在和加鼎银行、手机公司以及其他机构联络处理这些麻烦事。他清楚可能的欺诈行为也许远不止这些,到了月底,不知道还有什么样的“惊奇”在等着自己。
数据
因个人信息泄露而导致的身份盗窃问题正在变得越来越严重。加拿大反诈骗中心表示﹐每年有大约2.7万名加拿大人报称身分被盗窃,而这只是冰山的一角。
去年五月,蒙特利尔银行和加拿大帝国商业银行都遭遇了个人信息泄露事件。2017年8月份,大约2万名加拿大航空公司客户的个人信息遭到泄露。
最近10年来,重大的个人信息泄露事件主要有:
- 2018年3月,社交网络Facebook面临其用户数据管理的重大丑闻。据了解,英国剑桥Analytica公司已经收集了超过5,000万名脸书用户的数据,未经许可建立了一个预测和影响美国选民选择的计算机程序。
- 2017年9月,Equifax宣布遭到黑客攻击,被盗走超过1.43亿美国、加拿大和英国客户的个人信息。黑客获得了用户的姓名,社会保险号码,出生日期或驾驶执照号码等,可以访问近182,000人的信用文件。Equifax估计此次信息泄露事件导致209,000名美国客户的信用卡被盗。
- 2016年10月,约车系统优步Uber成为黑客入侵的受害者,5,700万的司机和顾客的个人信息被盗。最终优步支付给黑客10万美元以换取销毁数据。
- 2015年夏天,网络攻击导致婚外情约会网站Ashley Madison数百万客户的个人信息曝光,不仅使得该公司损失四分之一的年收入,还不得不向美国联邦贸易委员会支付超过160万美元来达成和解。
- 2014年,雅虎宣布5亿个账户信息被泄露,在加上2013年8月发生的另外两次黑客入侵事件,共有15亿个雅虎账户信息被盗,并在黑市上非法销售。