辛省志
2020年10月13日,十三屆全國人大常委會第二十二次會議首次審議了個人信息保護法草案。而近日火爆網絡的一篇梳理網絡黑產如何通過偷盜手機來盜取個人資金的文章,恰恰驗證了個人信息保護的重要性。這篇由信息安全專家根據親身經歷寫成的文章,再次提醒人們,移動互聯網越發(fā)達,越便利,個人信息泄露帶來的風險就越大,保護個人信息安全,一定不可掉以輕心。
根據文章的描述,作者的家人手機被偷,由于沒有第一時間掛失手機SIM卡,結果在短短半天之內,就被黑產犯罪團伙通過手機號獲得的個人信息注冊了支付寶新賬號、到美團貸了款、到蘇寧京東等網絡商城買了充值卡等,損失幾千塊錢。這還是因為作者是資深金融信息安全專家,在反應過來后第一時間掛失了手機卡、銀行卡、轉走了支付寶微信等常用App里的現金余額,如果換做普通人遇到這樣的情況,損失可能更為慘重。
而這樣的遭遇,也很可能發(fā)生在普通人身上。移動互聯網的發(fā)達,給人們帶來了極大的便利,一部手機在手,幾乎就可以辦理所有的政務、金融、網上消費等各種業(yè)務。很多人的手機里都有不少這類App,而為了便利用戶登錄,很多App都設置了通過手機短信驗證碼的便捷登錄方式。這隱藏著極大的風險。一旦手機丟失或者被盜,被犯罪分子破解了手機密碼和電話卡,哪怕只是拿到一張手機卡,能接收短信,就可以登錄很多App,進行貸款、消費等,還可能通過從中獲取的用戶信息,進行更多的操作,造成用戶更多損失。
根據作者的描述,犯罪分子全程都是通過各個機構的正常操作來進行,只是把各個機構“弱驗證”的相關業(yè)務鏈接起來,就給用戶帶來了巨大的損失。這意味著有些App在用戶信息保護上存在漏洞,能夠輕易被犯罪分子所利用。比如作者文中提到的四川人社App,只要有手機號和短信驗證碼即可登錄,修改社保密碼也只需要短信驗證碼。而有了社保密碼,就可以拿到完整的姓名、身份證號、證件照片,還有社??ㄉ系慕鹑谫~號,中間不需要人臉實名驗證,姓名身份證號銀行卡號等關鍵信息也是沒有打碼保護的。如果用戶用丟失的手機注冊了四川人社App,那關鍵信息就會暴露無遺。
而多數人在眾多App上登記的手機一般都是同一個常用手機號碼,很多應用的支付密碼可以通過短信驗證碼來修改,有些可能再加上身份證號碼、銀行卡號驗證。而犯罪分子有了用戶的手機卡,加上姓名身份證號銀行卡號等信息,就可以進行很多操作了。
文章作者的經歷,暴露了不少機構在用戶驗證和用戶信息保護方面存在漏洞,需要相關機構立即進行糾正。比如上文提到的人社App,應該改進登錄驗證方式,并對App上顯示的用戶關鍵信息進行打碼保護。所有政務和金融應用都應該查漏補缺,看是否存在同樣的問題。
還有一些有金融功能的App也存在問題,比如有些App的貸款審核不嚴,申請貸款時只要通過短信驗證碼,沒有人臉實名驗證。雖然網絡貸款只能發(fā)放到同一人名下的儲蓄卡,但用戶儲蓄卡也可能被盜,不能因此就放寬風控。要知道,現在各種小貸機構多如牛毛,很多知名互聯網應用也都有貸款業(yè)務,如果這些業(yè)務實名制審核不嚴,就有可能被犯罪分子用用戶的身份信息和被盜的銀行卡申請貸款再盜刷。
還有不少App允許同一實名用戶用不同手機號碼注冊多個賬號,但是注冊的手機號卻不需要和實名用戶一致(電信運營商也沒有提供手機號碼和用戶實名一致的驗證功能),這也帶來了安全漏洞,犯罪分子攻不破原有的賬號,還可以用用戶的身份信息設立新賬號來進行違法操作。
而作者一切遭遇的源頭,都只是丟失了一部手機,其中起關鍵作用的是手機卡。而電信運營商的手機卡在電話掛失后,竟然還可以通過電話解掛,也讓人費解。一般人的理解,SIM掛失后就不能使用,應該到營業(yè)廳才能補卡或者解掛。電信運營商在解掛SIM時,應該增加更強的用戶實名驗證,比如App解掛可以要求通過人臉識別,電話解掛可以通過預留問題答案等方式驗證。否則,更多的便利,就可能存在被他人解掛的可能。
作者所遇到的是一個非常專業(yè)的黑產犯罪團伙。但是互聯網時代,要掌握類似的犯罪技能并不是難事。一部手機被盜就能造成巨大的損失,這對普通人也是強烈的警示。由于幾乎所有應用都支持手機號碼登錄,手機號碼已經成為信息時代最為重要的個人信息之一。普通人必須提高警惕,務必保護好自己的手機,為手機和電話卡設置密碼,一旦丟失立即鎖死手機、掛失補辦SIM卡,掛失所有銀行卡,盡可能減少損失。