知名银行前员工盗取150万客户信息卖给犯罪分子
美国知名的太阳信托银行近日宣布,一名前员工可能已经下载了将近150万名客户信息,并将其分享给一个犯罪组织。
一、SunTrust银行可能发生数据泄漏事件
根据路透社的报道,美国八大银行之一的SunTrust银行近日宣布,发现一名前雇员可能试图下载将近150万名客户的信息,然后将这些数据分享给一个犯罪组织。
据悉,该员工盗取的客户资料包括用户的姓名、电话号码、地址和账户余额等重要信息,尽管如此,但银行却表示,这些数据并不包括用户的个人身份信息,比如说社会安全号码、账号、密码、用户的ID和驾照号码等。
SunTrust银行表示,目前公司已经意识到前员工可能已经盗取了部分客户的资料,但目前调查工作仍在进行中,持此之外,公司已经主动通知了大约150万客户,告知他们某些信息可能已经出现了泄漏。
SunTrust银行的CEO在与分析师的收益电话会议点亮了这一事件,他说,前员工下载客户端的信息实际上发生在六到八个星期之前,也就是大概两个月左右之前。
不过,该CEO还表示,公司暂时没有发现任何迹象表明,这些被泄漏的数据被用于欺诈活动中,因为这些信息可能并没有传播到银行之外的地方。
二、笔者的一些思考
如果真如CEO所说的那样,SunTrust银行暂时没有发现用户数据被泄露出去用作其他非法用户的情况,但笔者比较好奇的是,拥有什么样的权限才能拿到将近150万名用户的信息。
我们知道,任何企业和公司都是有权限划分的,当然,包括机构甚至是家庭都是有权限划分的,而在企业中什么该谁知道、什么不该谁知道都是有明确规定的,尤其是在银行这样的机构中。
但是,一个员工需要具备什么样的权限,才能拿到将近150万名客户的信息,这其中包括客户的电话、地址、账户余额和通信地址,而且还具备了下载权限。
此前笔者在分析数据泄漏事件的时候,多次提到这样的一个概念,那就是内鬼作案,在本文中同样适用鬼被银行称之为前员工。
而且,数据泄漏事件可能发生的时间是在六到八个星期之前,尽管目前SunTrust也出台了相关的保护措施,为了降低此次事故造成的影响和保障客户利益,银行免费为新老用户提供身份保护,但需要用户自行登录网银注册激活。