鲁达 近日,裁判文书网披露一起“黑客”入侵厦门银行手机银行App,利用虚假身份开户的案件。值得注意的是,两名犯罪分子分别为00后和95后,对应学历分别为初中文化和小学文化。
判决书提到,被入侵后,从2019年1月18日,厦门银行App关闭相应账户开户功能。2020年3月8日,隐私护卫队致电厦门银行客服,客服表示,目前仍不支持线上开户功能。
·· 1 ··
判决书显示,2019年1月5日至15日之间,犯罪分子田某通过软件抓包(抓取网络传输的数据)、PS身份证等非法手段,破解人脸识别等功能,在厦门银行手机银行App内使用虚假身份注册银行Ⅱ、Ⅲ类账户(Ⅱ、Ⅲ类账户为虚拟账户,可网上开通;Ⅰ类账户是全功能账户,比如借记卡,需在银行柜台办理)76个。
注册虚假账户后,田某将上述账户信息(包括身份证号、银行卡号、绑定的手机号)卖给张某等人,非法获利两万多元。
明知田某出售的账户为虚假身份注册的账户,张某仍多次购买,每套入手价格在100元至200元不等,然后再加价出售。
·· 2 ··
起初,张某只是从田某处购买账户。为了赚取更多利润,张某向他人学习上述技术,并尝试在多家银行注册Ⅱ、Ⅲ类账户。其中,张某在厦门银行App、建设银行App上拦截身份认证十余次,在浦发银行极速开户网页页面拦截身份认证信息四、五次。
此外,张某还雇佣他人利用上述技术,在建设银行系统内成功注册12个Ⅱ、Ⅲ类账户。
因非法获取计算机信息系统罪,田某被判处有期徒刑三年,并处罚金一万元。张某具有坦白从轻处罚情节,被判处有期徒七个月,并处罚金五千元。
裁判文书还指出,从2019年1月,厦门银行关闭手机银行中Ⅱ、Ⅲ类账户开户链接功能。隐私护卫队致电厦门银行客服,客服表示,目前仍不支持上述功能。
对于厦门银行App被入侵一事,瑞星副总裁唐威称,这暴露App未验证人脸数据的来源是否可靠,使得犯罪分子可通过注入虚假数据的方式,伪造App需要验证的人脸信息。
芯盾科技技术专家尹晓东也认为,通信数据未加密,使得手机银行App和服务器端的通信难以保证完整性和可靠性。
对此,唐威建议,数据通讯应加密,并且,App端应对服务端数据进行严格验证;更可靠的方法是,人脸等生物信息应放在服务器上,认证过程也应放在服务端进行。
此外,尹晓东指出,入侵事件暴露出在厦门银行App上开通Ⅱ、Ⅲ类账户时,并未与Ⅰ类账户进行鉴权。
所谓鉴权,他解释说,用户开通II类账户时必须对相关信息进行鉴权,即验证对应I类账户的五要素,包括开户人姓名、身份证号、手机号、绑定账户/卡号、绑定账户是否为I类账户或信用卡。
文/南都个人信息保护研究中心研究员 尤一炜