6月27日,澎湃新闻记者从业内人士处获悉,国家金融监督管理总局办公厅近日下发《关于加强第三方合作中网络和数据安全管理的通知》(下称《通知》),通报了部分银行保险机构的外包服务商发生多起安全风险事件。
根据通报,在企业微信服务风险情况方面,某微信代理商为多家银行提供企业微信相关服务,将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上,会话存档数据包含部分客户姓名、身份证号、手机号、银行账号等敏感个人信息。未经银行同意,该服务商私自使用数家银行600余万条会话存档数据用于该公司模型训练,并提供给关联公司。银行因未尽到对客户敏感数据保护责任,引发消费者维权投诉。
在科技外包风险方面,《通知》主要通报了5个事件,具体包括:
一、2022年8月,4家省联社托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息和账户信息被窃取。
二、某软件开发公司负责程序投产包发布的员工,因私自使用国外邮件代理工具而被黑客盗取工作邮箱密码。2022年5月,黑客登录邮箱并下载了部分邮件内容,在向公司勒索未果后,7月将数据在海外网站售卖,涉及34家银行业金融机构2个信息系统的部分程序源代码、设计文档和数据库配置文件等技术敏感信息。
三、某数据中心托管服务商的客户服务系统存在SQL注入和文件上传漏洞。2021年9月黑客入侵该系统并窃取数据库中信息,2023年1月在海外网站售卖,其中包括70余家银行保险机构的数百条员工个人信息。
四、某寿险公司采购部署的第三方软件产品“保融第三方签约平台”,在网络攻防演习时被发现其前端管理页面的JS文件中明文写有管理员账号及密码,攻击者可利用该账号绕过前端验证直接登录系统,并查询包含个人敏感信息在内的所有数据,存在敏感数据泄露风险。
五、2023年2月,某互联网域名代理商因私自变更失误,导致某银行互联网域名解析失败,在业务高峰期影响金融交易达68分钟。