【新闻周评】京东金融“盗图”,深网视界“漏脸”,支付安全比想象的严峻
慕楚移动支付网2019/2/18 9:05:50

春节刚过,支付信息安全便成为了业界关注的焦点。一个是深网视界泄露250万人脸数据,对于目前如火如荼的刷脸支付,无疑是重重的敲击。另一个是京东金融APP获取用户敏感图片,银行APP的截图却出现在京东金融APP的根目录中。两大事件都有值得深思的地方。

京东金融“盗图”,该当何罪?

据三言财经2月16日报道,今日凌晨,一名微博认证为“数码博主”的网友上传视频显示,京东金融APP会获取用户手机银行类软件截图。

(图来自三言财经)

大意是指,在京东金融APP后台运行的安卓手机上,打开任意银行手机软件,并且在手机银行软件任意界面截屏。之后,在文件管理器中的京东金融APP目录下,可以查看到用户之前所截的银行软件图片。

后有网友证实,不仅仅是银行APP,在安卓手机上,只要打开京东金融APP,并处于后台运行状态,用户的第一张截图都会出现在京东金融APP特定的文件夹当中。

(图来自三言财经)

需要注意的是,无论是数码博主,还是网友,均未证实截图内容是否有上传服务器。

那么从支付行业的角度如何看待此事件呢?

2018年8月,央行发布146号文,开展支付安全风险专项排查工作,排查机构涉及银行、支付机构、清算机构,作为拥有网银在线支付牌照的京东自然也在排查之列。排查内容方面,就有一条涉及客户端。

“排查客户端应用软件敏感信息保护、安全漏洞防护、信息传输安全等方面存在的隐患。”

银行APP的截图算是敏感信息吗?

支付行业印象里的支付敏感信息,是在支付过程中产生的信息,比如支付账户、密码、姓名、交易时间、地点等。假设银行APP界面正好拥有敏感交易信息,用户截图之后京东金融APP获取,上传服务器,进而泄露。那么这敏感信息泄露,是银行的过错,还是京东的罪责?

当然,目前许多银行APP都拥有防截图功能,特别是二维码支付界面,更有截图失效的安全防护,敏感信息也要求不可明文展示。

而京东金融APP现在也只是进行了截图的获取,在获得用户足够权限的情况下,没有涉及上传、泄露的过程,或许京东一篇技术出错的声明即可,罪责并不会太大。可能会涉嫌违反网络安全法,支付安全上的违规可能性不太大,但毕竟京东金融APP也是金融支付范畴,或许会吸引监管层的注意力。

深网漏“脸”,给刷脸支付敲警钟

另外一起信息泄露事件是,深网视界泄露250万人脸数据。微博安全应急响应中心在2月14日发布信息安全要闻。指出据外媒报道,国内某人脸识别公司发生大规模数据泄露事件。超过250万条数据可被获取,包括身份证信息、人脸识别图像以及捕捉地点。

据cnet报道,该公司名为SenseNets,总部位于深圳,即深圳市深网视界科技有限公司。最开始由商汤科技和东方网力两家公司出资成立,后商汤科技退出。

由于刷脸支付的快速发展,这一人脸泄露事件快速的引起了支付行业极大关注。人们不禁问,如果人脸信息泄露,刷脸支付是否会被盗刷?

最要命的是,这一泄露事件,包含了最为敏感的身份证信息,在拥有身份证信息的情况下,获得手机号码、住址、银行卡信息便更加容易。

据安知讯报道,深网视界的合作机构还包括连云港市公安局、上海市公安局、绵阳市公安局、兰州银行等较为敏感的机构。

目前银联、支付宝、微信所推出的刷脸支付产品,是人脸比对加上手机号码进行身份验证,进而完成支付。我们相信,刷脸支付全程是安全的,信息不会泄露,但是如果其他渠道泄露的人脸信息,加上完美的个人信息匹配,这就让刷脸支付变的异常危险。

值得一提的是,公安部是中国境内唯一拥有合法权益获取中国公民人脸信息的机构,现在流行的刷脸支付,都是需要经过公安部系统比对,方能完成身份认证,支付企业没有任何权力存留用户人脸信息。深网视界与几个公安局拥有合作,其泄露内容似乎也是警务中的人脸认证。如果本次泄露对公安系统有影响,这将是非常可怕的。

目前人脸泄露事件尚不明朗,危害程度尚没有权威机构评估,但以此为警钟,支付行业在对待刷脸支付时多留一个心眼才是,要让用户感受到足够的安全。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消