网传客户资料外泄银行郑重辟谣

昨天，有微博传言：“交通银行(601328,股吧)7000万客户、民生银行(600016,股吧)3500万用户资料外泄。”还有传言称工行的客户资料也被泄露。发布消息的人还煞有介事地贴出了显示有客户信息的电脑画面截图。

针对网络传言称银行用户数据疑遭泄露一事，工行相关部门负责人表示，这一传言不符合实际，银行的客户信息和密码是安全的。这位负责人称，工商银行(601398,股吧)对于客户密码等重要信息采取了非常严格的措施来确保信息安全，在系统中对于客户密码的存储与传输均采用加密方式，在与第三方公司的电子商务合作中，涉及的密码信息均要求在该行系统页面上进行操作。

这位工行负责人还告诉记者，网络传言中所谓泄露银行用户数据中所涉及的三张该行卡均为已注销的无效卡，且从相关文本数据结构含义上分析，其中包含了订单号（OrderId）等内容，可以判断信息不是来自银行数据库。

交行声明也称，该行采用了先进的密码硬加密技术和周密的安全防范措施，确保为所有客户提供安全高效的金融服务。交通银行还呼吁社会各界共同打击造谣行为，不要误信、误传谣言企业介绍海报。对于任何有意造谣滋事、严重扰乱金融秩序的行为，该行将保留追究其法律责任的权利。

昨天下午，交行信息技术部总经理麻德琼在与网友交流时表示，银行的密码设置是全程硬加密的，银行自身也无法读出客户密码，不可能在银行外部的系统上显示，更不可能把密码提供给第三方公司。他同时建议，网友要高度重视网络安全，密码设置既要避免简单的数字序列，别人了解的个人信息和简单的键盘组合。建议用字母、数字、字符的组合，并经常更换。对可疑的网站，不贸然输入密码。特别避免只用六个8、六个6、本人生日等作为密码。

用网银要防木马钓鱼

业内人士指出，网银安全更大程度依赖于用户的安全意识，而银行端的安全性较高。不法分子主要通过钓鱼网站和木马病毒窃取用户的卡号和密码。客户除了要保证自己不泄露银行密码外，还要确保登录网上银行的电脑安全可靠，要安装杀毒软件和网络防火墙，定期更新杀毒软件，避免让太多人使用自己的个人电脑。

据记者了解，国内的网银早已摆脱了对账号、密码的单纯依赖，普遍采用双因素、多因素的认证手段。比如，在登录密码之外，在进行资金转移之前还必须有硬件证书（如U盾）、口令卡、手机动态密码等多种安全措施。

不法分子窃取用户信息主要通过木马程序和诱使客户登录与银行官网十分相似的钓鱼网站来进行。不少银行的网站都开辟了安全专区，向客户普及安全使用网银的常识。比如，工行就提醒客户， 访问工行网站时请直接输入网址登录，不要采用超级链接方式间接访问工行网站。 工行绝对不会通过邮件、短信、电话等方式，要求客户到指定的网页修改密码或进行身份验证，如果收到此类信息请不要相信。

农行也提醒客户要保护好硬件证书及密码，硬件证书使用完毕后应及时从电脑上取回。使用Windows操作系统的客户，请打开Windows系统自带的防火墙，关闭共享和远程功能，以防止恶意程序入侵电脑。不要在不明网站输入银行账号、密码等个人资料，以免被钓鱼网站或网络木马等软件窃取。

解读

网民如何应对

“密码危机”？

用户数据库泄露事件上周爆发以来，已经明确涉及的网站有CSDN、天涯社区等，数千万的账号和密码在网上被公布，此后一些掌握用户家庭住址、手机号码等信息的社交、购物网站也被牵扯进来，而昨天网络上更是传出多家银行的用户资料也遭到泄露，大量网民对此担心不已，对此专业人士指出网民应对这场“密码危机”除了要及时修改密码的同时，还要从技术上提升密码管理级别，尽量养成良好的密码使用习惯。

卡巴斯基安全专家分析，此次密码泄露事件，可能由于一些网站采用了明文密码保存方式，被黑客轻易破解，导致用户资料的泄露。从已经被爆出用户资料泄露的CSDN、天涯社区的声明来看，两家网站均提到了早期使用过明文密码，所以导致用户信息被盗。所谓明文密码，就是指不加密的密码，比如用户注册时设置的密码是“123456”，网站保存文件中显示就是“123456”，一旦数据库泄露，黑客就可直接掌握用户的账号和密码信息。如果对明文密码进行加密，即使数据库泄露制作宣传单，盗取者也无从得知用户的真实密码。

“目前主流网站通常都不会采取明文密码的保存方式，原因正是因为安全性差，”某网站技术部门负责人告诉记者小满。此次被传出“泄密”消息的人人网也发布声明，称网站自从建站以来，“从未以明文方式存储用户的账号和密码”，因此用户数据是安全的。京东商城、当当网等电子商务网站的相关人士也向记者表示，他们的用户资料都是加密保存的，泄密事件发生后他们都在内部进行了排查，发现并没有像网络传言的那样，大量用户信息被泄露。

而像支付宝这类涉及资金交易的网站，对于用户资料的保护更是严密。据支付宝方面介绍，该网站与一般的互联网社区网站不同，为了保障用户的密码安全，支付宝专门推出了密码安全控件，不仅实现了在SSL加密传输基础上对用户的关键信息进行再次的多重加密，还能够有效防止木马程序截取键盘记录，防止账户密码被木马程序或病毒窃取，“目前支付宝的安全体系已经通过全球最严格的数据安全标准合规PCI DSS认证。”

部分IT人士推测，此次被泄露的用户信息多数为2009年左右时期的数据，黑客盗取这些信息应该不是近期发生的事情。近几年，在网络上倒卖用户资料的地下交易并不鲜见，因此这次用户资料泄露有可能是不法分子在交易过程中，无意中将相关文件流出。

除了部分网站用户资料被泄露外，导致此次泄密事件事态不断扩大的另一个重要原因是国内网民使用同样的账号、密码在各大网站注册，一个账号泄露则与之相关联的多个网站账号密码也同时被泄密。从目前各大安全厂商发出的建议来看，要安然渡过此次“密码危机”，除了需要各网站加强用户资料管理、网民及时更改相同的用户和密码之外，网民养成良好的密码使用习惯也很重要，尤其是网络应用较多的网民，最好采取分级管理的办法，根据网站的重要性使用不同的邮箱注册，设置不同的密码。 (北京青年报 程婕 车利侠)