身份信息被盗因为20块小便宜?金融App陷安全质疑

来源:北京晚报
2015-10-15 14:26:54

身份信息被盗因为20块小便宜?金融App陷安全质疑

“我的身份财务信息被盗用了,这事谁能管管?”

  最近二十多天的日子,陈赫(化名)过得有些忐忑——一个偶然的机会,他发现自己的身份信息,被他人利用,注册在一款“互联网+金融”的App之下。

  若是其他软件也罢,偏偏这款软件主打的是“熟人借贷”,陈赫最怕接到朋友的电话:“我借你那100万,什么时候还?”

  实名绑定遭遇“李鬼”——

  直到今天,我也不知道是谁盗用了我的信息

  陈赫发现自己的身份信息被盗用,还是因为20块钱的“小便宜”。

  2015年9月20日,陈赫听说有款名叫“借贷宝”的手机App,安装注册后,每人可以领取20元的现金奖励。抱着试一试的想法,他安装了该款软件。

  “安装后才发现,想拿到现金,要实名认证绑卡才可以。”陈赫口中的“实名认证绑卡”,是目前手机App常见的一种操作。手机用户需要通过手机验证短信、填写身份证号及银行卡信息等步骤,将自己的身份信息与财务信息在手机上“绑定”,从而方便进一步使用。

  只不过陈赫的“实名认证绑卡”并不顺利,填写了自己的真名、身份证号,手机软件却提示系统升级,稍后再试,“我当时也没在意,就把软件关了。”

  过了两三天,陈赫又想起了自己“手机里的20块钱”,于是再次操作绑定银行卡,可此时软件系统提示,陈赫的身份证号已经绑定在一个“135****23”的手机号上。陈赫一查,该手机注册地为广州深圳,“肯定不是我的手机号,我都没去过深圳。”

  对互联网安全多少有些了解的陈赫,赶紧为软件提示截了图,并拨打“借贷宝”客服热线,电话的另一端,工作人员表示,陈赫的身份证号确实已绑定了相应的银行卡和手机号,而且都是“实名的”。

  实际上,“实名绑卡”也是“借贷宝”对外宣传的安全验证措施之一,这款以“人脉变钱脉”为宣传语的互联网借贷软件,在其官网上对软件安全性做出了大量承诺,如“多重护卫,极致安全”、“多重个人银行信息安全验证,更多验证,更全保障”、“银联校验个人身份信息,杜绝隐私泄露风险”。

  “我觉得这根本不可能啊,首先这个绑定的手机号就不是我的。”对于陈赫的质疑,客服人员表示不能向陈赫提供进一步的信息,如果希望解除绑定的话,可以将自己的身份证扫描件和手持身份证的小视频,发到公司的电子邮箱:“对方让我拿纸笔记一下邮箱地址,我当时就怒了,哪有公司让客户用笔记的?万一你就是骗子,我再把身份证和个人视频全发给你,不彻底完了?”

  随后的半个月中,陈赫多次与借贷宝客服人员联系,得到的答案基本一致——需要向后台技术人员反馈相关问题,保证在此期间,账户不发生借贷交易,但不能向陈赫提供进一步账户信息:“直到今天,我也不知道是谁盗用了我的信息,怎么盗用的。我唯一掌握的,就是那个号称绑在我名下的手机号。”

  可惜的是,陈赫手中的这个手机号,如今状态已成为“失效”。

  三成网民财务信息遭泄露——

  互联网企业关注用户量,忽视对用户的身份核实

  让陈赫担心的,不仅是账户发生借贷风险,“实名绑定”背后的多种可能更让他害怕,其中最糟的,则是“真的有人用我的信息办了卡。”

  “从技术角度看,这并不是不可能。”一位不愿透露姓名的借贷宝技术人员表示,对用户的身份核实,依靠的是银联和公安相应的账户、身份核查系统,并非借贷宝自行研发。系统要求姓名、身份证、手机号、银行卡号均对应才能通过核查,此外绑卡还需要输入银行卡的支付密码:“既然能够通过实名认证,那么盗用信息者要不是办了‘套牌卡’,就是盗走了对方所有的账户信息。”

  据网络资料显示,借贷宝于2015年6月正式上线推广,由于高额注册返利和备具争议的商业模式,很快引发业界关注。一份从借贷宝内部流出的数据显示,该软件注册绑卡人数已超过1000万。

  据网络公开信息可以发现,相对于其他手机客户端软件,借贷宝对于绑卡用户的奖励可谓“不菲”,如每拓展一名绑卡用户,就能得到40元报酬,如用户自发“拓展下线”,“上线用户”还能得到20元奖励。

  “绑卡报酬高,就有人会动歪点子,毕竟提高了自己的用户数量。”参与借贷宝推广工作的王博(化名)表示,“地推(指地面推广行业)圈”一直流传着依靠借贷宝发财致富的传说,如十几名推广人员,一下午赚取数十万推广费用等:“靠盗取个人信息注册的办法,自然也能赚到钱。”

  中国互联网协会发布的《中国网民权益保护调查报告2015》显示,个人信息的泄露已成为网络技术迅速发展的副作用之一。据统计数据显示,超过半数的网民个人身份信息和个人网上活动信息遭到泄露,其中,网民的个人信息及手机号码、电子邮箱作为网民生活中必备的通信信息泄露情况最为严重,达到78.2%;个人财务信息如网络账号、银行卡号、密码等泄露,也达到28.5%。除此之外,个人行为信息、医疗记录等,均在被泄露范围之内。

  “互联网金融、网络支付的安全问题,属于行业问题,并不是某一家企业的问题。个人信息被盗用情况的发生,问题不仅仅是App层面的。相比于传统的金融行业,互联网金融企业缺乏面对面认证的环节,从安全性的角度看,也就少了一层身份验证。”移动互联网分析师马继华表示,大多数手机客户端软件,均通过身份证号、手机号验证的方式绑定用户信息,这样的注册方式,在目前的互联网安全背景下,存在巨大的风险:“互联网企业往往关注用户量,忽视对注册用户的身份核实,从这个角度讲,企业是有一定责任的。企业应该利用技术手段清理僵尸账户,迅速核实可疑账户。”

  防止信息泄露存技术难点——

  不要贪图小利,就出卖自己的个人信息

  “想要解决身份核实的问题,就要打通身份信息的数据系统。比如手机实名制、银行卡实名制和身份信息核实,所有数据放在一个平台。但如果全部打通,就增加了数据被一锅端的风险。”马继华坦言,即便是银行系统的面对面核实,仍会出现办假卡、冒领钱款等问题,网络身份验证的技术难度可见一斑:“这也是证明我是我的问题,审查不严就有风险,太严又不符合现在互联网发展的大趋势。”

  “如果发现个人基本信息被盗用或存在被盗用的风险时,应及时致电相关公司的客服进行确认,若确实存在盗用事实,说明原因并要求其删除;如果发现存款、证券或理财账户被盗用或存在被盗用的风险时,应及时致电相关的金融机构进行挂失止付,注意留存相关证据例如短信或凭证,并及时报警。”中闻律师事务所律师李亚介绍,2009年2月28日公布施行的《刑法修正案》中,将非法泄露和获取公民个人信息罪、出售或者非法提供公民个人信息罪列入了刑法;2013年9月1日,工信部颁布施行了《电信和互联网用户个人信息保护规定》,保护电信和互联网用户的合法权益,维护网络信息安全。不过从目前的现实执行情况看,个人信息保护的效果尚不明显。

  “互联网企业是否有义务核查每一位注册者身份的问题,实质为网络是否实名制的问题。我国网络实名制立法尚未落地,网络实名制实现难度大,目前互联网企业没有义务也没有能力去核查每一位注册用户身份的真实性。”李亚表示,犯罪分子会利用在互联网金融企业注册的用户账户进行洗钱等金融犯罪,为了保障注册用户的账户安全,应对其进行身份认证、手机验证或银行卡实名认证。但受制于网络的虚拟环境,存在安全漏洞在所难免。

  “现在互联网个人信息盗取越来越多,大家应该有一定的防备意识。”北京大成律师事务所律师滕元庆介绍,只要用户可以证明自己的身份信息被盗取,即便出现借贷等问题,也可以通过法律手段保护自己的权益。但在日常生活中,还是应该注意个人信息的保护,例如包含身份证、户口本信息的图片,自己手持身份证的照片、视频等,不应随便传播至网上,“需要上传个人信息的软件现在也很多,但实际用途未必很大。网友不要贪图小利,就出卖自己的个人信息。”

  主笔 吴楠 插图 宋溪