知名银行前员工盗取150万客户信息卖给犯罪分子

美国知名的太阳信托银行近日宣布，一名前员工可能已经下载了将近150万名客户信息，并将其分享给一个犯罪组织。

一、SunTrust银行可能发生数据泄漏事件

根据路透社的报道，美国八大银行之一的SunTrust银行近日宣布，发现一名前雇员可能试图下载将近150万名客户的信息，然后将这些数据分享给一个犯罪组织。

据悉，该员工盗取的客户资料包括用户的姓名、电话号码、地址和账户余额等重要信息，尽管如此，但银行却表示，这些数据并不包括用户的个人身份信息，比如说社会安全号码、账号、密码、用户的ID和驾照号码等。

SunTrust银行表示，目前公司已经意识到前员工可能已经盗取了部分客户的资料，但目前调查工作仍在进行中，持此之外，公司已经主动通知了大约150万客户，告知他们某些信息可能已经出现了泄漏。

SunTrust银行的CEO在与分析师的收益电话会议点亮了这一事件，他说，前员工下载客户端的信息实际上发生在六到八个星期之前，也就是大概两个月左右之前。

不过，该CEO还表示，公司暂时没有发现任何迹象表明，这些被泄漏的数据被用于欺诈活动中，因为这些信息可能并没有传播到银行之外的地方。

二、笔者的一些思考

如果真如CEO所说的那样，SunTrust银行暂时没有发现用户数据被泄露出去用作其他非法用户的情况，但笔者比较好奇的是，拥有什么样的权限才能拿到将近150万名用户的信息。

我们知道，任何企业和公司都是有权限划分的，当然，包括机构甚至是家庭都是有权限划分的，而在企业中什么该谁知道、什么不该谁知道都是有明确规定的，尤其是在银行这样的机构中。

但是，一个员工需要具备什么样的权限，才能拿到将近150万名客户的信息，这其中包括客户的电话、地址、账户余额和通信地址，而且还具备了下载权限。

此前笔者在分析数据泄漏事件的时候，多次提到这样的一个概念，那就是内鬼作案，在本文中同样适用鬼被银行称之为前员工。

而且，数据泄漏事件可能发生的时间是在六到八个星期之前，尽管目前SunTrust也出台了相关的保护措施，为了降低此次事故造成的影响和保障客户利益，银行免费为新老用户提供身份保护，但需要用户自行登录网银注册激活。