29日，針對國內多家銀行巨量客戶敏感信息外泄的傳聞，涉及傳聞的銀行在第一時間作出官方澄清，并指傳言“嚴重失實”。

　　當天，某網絡群發表文章稱，有網友爆料，國內多家銀行的用戶數據已經泄露，其中交通銀行7000萬用戶，民生銀行3500萬用戶。該網絡群指出，根據網友提供的部分信息截圖，泄露數據的銀行包括交通銀行、民生銀行、工商銀行等，數據包含了用戶的姓名、卡號、密碼等敏感信息。

　　就在上述傳言通過網絡、微博快速擴散的同時，部分未涉及傳言的銀行在當日下發風險提示，要求相關部門在內部進行相關風險評估。

　　“與網站相比，銀行的信息安全防范系統在復雜度、安全度上高許多，并且與外網有物理隔離，但任何安全防范措施，我們都不能說100%沒有隱患?！币还煞葜沏y行信息科技部門負責人昨日接受早報記者采訪時說。

　　截至29日17時，發布銀行巨量客戶敏感信息外泄傳聞的相關微博已遭刪除，最初流傳該信息的某網絡群因“發布非法信息”，同時遭到關閉。

　　“所謂泄密卡為無效卡”

　　交行29日發布的聲明表示，經核實，傳聞純屬謠言，“交行采用了先進的密碼硬加密技術和周密的安全防范措施。”交行同時保留追究法律責任的權利。

　　工行相關部門負責人昨日也在第一時間回應：“這一傳言不符合實際，工行的客戶信息和密碼是安全的。 ”

　　上述負責人說，工行在系統中對于客戶密碼的存儲與傳輸均采用加密方式，在與第三方公司的電子商務合作中，涉及的密碼信息均要求在該行系統頁面上進行操作。

　　該負責人進一步指出，網絡傳言中所謂泄露銀行用戶數據中所涉及的三張工行卡均為已注銷的無效卡，且從相關文本數據結構含義上分析，其中包含了訂單號等內容，可以判斷信息不是來自銀行數據庫。

　　另一家卷入傳聞的民生銀行昨日亦在官方網站發表聲明：“經查，此信息嚴重失實?！?/P>

　　銀行保密靠“黑匣子”

　　多家銀行的相關負責人指出，銀行對客戶密碼等重要信息采取了“非常嚴格的措施和加密手段”，而從網友提供的所謂泄露信息的截圖看，亦不可能來自銀行的數據庫。

　　這是因為，與一般網站對用戶名、密碼“明文存放”的方式不同，銀行對用戶密碼進行存儲和識別時都要經過多次變化，進而跟后臺存儲的經過變化之后的密碼比對。也就是說，即便銀行的數據庫信息真的發生泄露，其泄露的密碼信息由于是經過多次變化的密碼形態，一般也無法被識別和使用。(編注：簡單來說，明文密碼就是沒有隱藏、顯而易見的密碼，與之相對的是暗碼，或稱密文密碼，指的是系統收到你的密碼后，通過某種加密算法進行編譯后，對編譯結果進行保存。如果你的密碼為12345，則明文密碼顯示為12345，暗碼顯示為*****。如果告訴你*****而不告訴你解碼規則，你就很難翻譯出12345。)

　　交通銀行相關負責人昨日接受早報記者采訪時指出：“首先，從客戶信息方面來說，交通銀行的系統從來不能對客戶的信息進行巨量下載，有可能是客戶在網上支付時將個人信息泄露出去的。其次，客戶賬號的密碼會輸入我們的‘黑匣子系統’(即讓密碼進行多次變化的系統)，這個信息是不可逆加密，要破解密碼只能通過特定的算式推導，但是7000萬這么巨量賬戶的密碼想要被推導出來幾乎是不可能的?！?/P>

　　昨晚，籬笆網聯合創始人徐湘濤在接受早報記者采訪時指出：“目前，大多數銀行卡的密碼是不可逆加密的，我做過十多個包括核心交易系統的銀行卡相關項目，很確定系統里根本就不可能存在明文密碼，也不存在所謂給安全部門留明文密碼的后門，銀監會在這方面也會有嚴格規定?！?/P>

　　所謂“不可逆加密”，指的是即使黑客能拿到網站用戶賬號的密文，也無法算出每個密文對應的明文，而明文就代表用戶的姓名、密碼等資料，因此銀行卡的密碼是不會這么輕易以明文形式泄露出來的?！般y行用戶在ATM或者POS鍵盤上輸入自己的密碼后，這個密碼會在后臺直接再次加密，在形成加密包后再傳到主機?！?/P>

　　“由于網站的密碼和客戶資料是明文存放，工作人員想看是可以看到的，很多網站甚至還允許存儲設備與工作系統相連接，那么把客戶資料拷貝出來相當容易。但這些做法在銀行都是不被允許的。此外，銀行專有的網絡，也與外界的網絡隔離。”一國有大行數據中心人士表示。

　　數據外包泄密隱患

　　就在涉及傳聞的銀行在第一時間做出澄清的同時，昨日亦有部分銀行在內部下發相關風險提示。

　　“與網站相比，銀行的信息安全防范系統在復雜度、安全度上高許多，并且與外網有物理隔離，但任何安全防范措施，我們都不能說100%沒有隱患?！蹦炽y行信息科技部門負責人昨日表示。

　　“相當多的客戶喜歡把所有銀行卡的密碼都設置成一樣的，我們是說萬一，萬一泄露的信息是真實的，必須在第一時間做出相應的風險評估和風險防范?！鄙鲜鲂畔⒖萍疾块T負責人稱。

　　前述國有大行數據中心人士指出，從謹慎的角度考慮，個別銀行對數據中心的部分業務外包某種程度上有導致客戶信息資料外泄的風險。

　　值得一提的是，銀監會2009年6月1日發布的《商業銀行信息科技風險管理指引》對信息科技業務外包提出明確要求。比如涉及銀行客戶資料的外包在準備實施時應以書面材料正式報告銀監會或其派出機構，并告知相關客戶;又比如銀行客戶資料與外包服務商其他客戶資料須有效隔離、按照“必需知道”和“最小授權”原則對外包服務商相關人員授權、要求外包服務商保證其相關人員遵守保密規定等。

　　亦有業內人士指出，客戶資料也可能會通過網上支付、銀行卡遭克隆，或者ATM機被裝針眼攝像頭等方式泄露。

　　“這些情況在前兩年倒是經常有，近兩年銀行設備升級后不太可能出現類似情況，我們依然要求銀行網點及時、定期對ATM機設備進行檢查?！比A東一銀行信息科技相關負責人稱。

　　雖然證實銀行卡密碼外泄子虛烏有，但隨著“密碼門”事件的升級。我中心進來收到多起舉報，有詐騙分子以通過郵件誘導消費者進入釣魚網站從而騙取用戶賬號密碼。為此我中心已發布提醒：謹防以“修改密碼”為名的釣魚陷阱。  用戶如需修改密碼最好是直接用手輸入官網頁面，再從那里去修改密碼。千萬不要點擊一些來路不明的郵件鏈接，以防上當。