京東“盜圖”深網“漏臉” 支付安全形勢嚴峻
【EFEC導讀】春節剛過,支付信息安全便成為了業界關注的焦點。
春節剛過,支付信息安全便成為了業界關注的焦點。一個是深網視界泄露250萬人臉數據,對于目前如火如荼的刷臉支付,無疑是重重的敲擊。另一個是京東金融APP獲取用戶敏感圖片,銀行APP的截圖卻出現在京東金融APP的根目錄中。兩大事件都有值得深思的地方。
京東金融“盜圖”,該當何罪?
據三言財經2月16日報道,今日凌晨,一名微博認證為“數碼博主”的網友上傳視頻顯示,京東金融APP會獲取用戶手機銀行類軟件截圖。
大意是指,在京東金融APP后臺運行的安卓手機上,打開任意銀行手機軟件,并且在手機銀行軟件任意界面截屏。之后,在文件管理器中的京東金融APP目錄下,可以查看到用戶之前所截的銀行軟件圖片。
后有網友證實,不僅僅是銀行APP,在安卓手機上,只要打開京東金融APP,并處于后臺運行狀態,用戶的第一張截圖都會出現在京東金融APP特定的文件夾當中。
需要注意的是,無論是數碼博主,還是網友,均未證實截圖內容是否有上傳服務器。
那么從支付行業的角度如何看待此事件呢?
2018年8月,央行發布146號文,開展支付安全風險專項排查工作,排查機構涉及銀行、支付機構、清算機構,作為擁有網銀在線支付牌照的京東自然也在排查之列。排查內容方面,就有一條涉及客戶端。
“排查客戶端應用軟件敏感信息保護、安全漏洞防護、信息傳輸安全等方面存在的隱患。”
銀行APP的截圖算是敏感信息嗎?
支付行業印象里的支付敏感信息,是在支付過程中產生的信息,比如支付賬戶、密碼、姓名、交易時間、地點等。假設銀行APP界面正好擁有敏感交易信息,用戶截圖之后京東金融APP獲取,上傳服務器,進而泄露。那么這敏感信息泄露,是銀行的過錯,還是京東的罪責?
當然,目前許多銀行APP都擁有防截圖功能,特別是二維碼支付界面,更有截圖失效的安全防護,敏感信息也要求不可明文展示。
而京東金融APP現在也只是進行了截圖的獲取,在獲得用戶足夠權限的情況下,沒有涉及上傳、泄露的過程,或許京東一篇技術出錯的聲明即可,罪責并不會太大。可能會涉嫌違反網絡安全法,支付安全上的違規可能性不太大,但畢竟京東金融APP也是金融支付范疇,或許會吸引監管層的注意力。
深網漏“臉”,給刷臉支付敲警鐘
另外一起信息泄露事件是,深網視界泄露250萬人臉數據。微博安全應急響應中心在2月14日發布信息安全要聞。指出據外媒報道,國內某人臉識別公司發生大規模數據泄露事件。超過250萬條數據可被獲取,包括身份證信息、人臉識別圖像以及捕捉地點。
據cnet報道,該公司名為SenseNets,總部位于深圳,即深圳市深網視界科技有限公司。最開始由商湯科技和東方網力兩家公司出資成立,后商湯科技退出。
由于刷臉支付的快速發展,這一人臉泄露事件快速的引起了支付行業極大關注。人們不禁問,如果人臉信息泄露,刷臉支付是否會被盜刷?
最要命的是,這一泄露事件,包含了最為敏感的身份證信息,在擁有身份證信息的情況下,獲得手機號碼、住址、銀行卡信息便更加容易。
據安知訊報道,深網視界的合作機構還包括連云港市公安局、上海市公安局、綿陽市公安局、蘭州銀行等較為敏感的機構。
目前銀聯、支付寶、微信所推出的刷臉支付產品,是人臉比對加上手機號碼進行身份驗證,進而完成支付。我們相信,刷臉支付全程是安全的,信息不會泄露,但是如果其他渠道泄露的人臉信息,加上完美的個人信息匹配,這就讓刷臉支付變的異常危險。
值得一提的是,公安部是中國境內唯一擁有合法權益獲取中國公民人臉信息的機構,現在流行的刷臉支付,都是需要經過公安部系統比對,方能完成身份認證,支付企業沒有任何權力存留用戶人臉信息。深網視界與幾個公安局擁有合作,其泄露內容似乎也是警務中的人臉認證。如果本次泄露對公安系統有影響,這將是非常可怕的。
目前人臉泄露事件尚不明朗,危害程度尚沒有權威機構評估,但以此為警鐘,支付行業在對待刷臉支付時多留一個心眼才是,要讓用戶感受到足夠的安全。
上一篇:順豐控股收購敦豪香港和敦豪北京100%股權的交易完成交割
下一篇:大灣區規劃綱要八大亮點:資本市場將如何與之共舞?
