美国开放银行应用Dave数据泄露启示录
陈拾九移动支付网2020/9/4 9:36:13

Dave,一个在美国十分常见的路人名字,就好似张伟这个名字在中国一样。对于大多数中国人来说,第一次见到Dave这个名字大概是在游戏《植物大战僵尸》中那个疯子邻居,Dave。

但是在美国,Dave不仅仅是一个人的名字或者一个游戏人物的称呼,而是一家金融科技初创公司的名字,成立于2015年,以App和网页为服务的主要载体,Banking for humans是他们的口号。

Dave:一个开放银行应用

Dave是一家非常有意思的公司,Dave为其用户提供信用卡管理、小额无息贷款、报告信用记录等等服务,用以帮助用户回避支付可能超过30美元的信用卡透支费(overdraft fee),并且帮助用户建立征信报告。

盈利模式上,Dave采用会员制,每月收费1美元,同时也接受用户的小费:每次使用其小额无息贷款,需要支付大概1美元到4.99美元不等的小费。可能Dave参考了支付宝的思路,每收到一笔小费该公司都会种一颗树,称之为“未来之树”。

目前该公司已经和万事达卡合作开始发卡,同时Dave也支持使用其他银行的银行卡,并提供同样的服务。

也就是说,如果Dave的用户不打算使用其他的金融服务,比如贷款买房买车,完全可以只使用Dave。

可以说,Dave是一家不是银行的开放银行应用。不是银行是因为Dave本身并没有银行牌照。根据报道,美国金融科技公司很少愿意申领美国财政部颁发的类银行牌照(bank-like license),因为一旦接受类银行牌照,公司就需要接受大多数适用于银行的监管,但是缺乏实利。

虽然没有牌照,Dave却以一种平台和开放的思维,通过在不同银行之间数据共享、算法和技术标准化的过程中,构建出一种新的生态系统,并在该生态系统上形成新的商业模式,创造新的盈利点。

Dave接入了账户数据API,可以读取银行账户数据,以便用户管理自身银行账户或获取相应金融服务,另外接入了支付发起API,可以调用支付接口,便利用户直接完成支付。如果以国外的标准来看是一个不折不扣的开放银行应用。

不过以国内的眼光来看,Dave这家公司的业务更类似于“信用卡管家”或者“云闪付”,属于金融科技创新应用,并不属于开放银行。

Dave的数据泄漏危机

对很多外国人来说,信用卡、支付、收入、征信等等与金钱相关的信息都属于隐私中的隐私,是非常敏感的。美国在立法上也对金融隐私权有保护,比如有名的《财务隐私权法》。

在这样的环境下,Dave推广最大难点就在于如何让用户放心的将自己的信用卡、支付、收入、征信等等信息放心的提供给自己。很多用户对于Dave最大顾虑就在于一旦使用Dave的服务,Dave就可以随意查看自己的金融信息。

拥有超过700万用户的Dave在取得用户信任方面使用的方法也很简单:使用银行级安全防护以及给每个账户上一张最高25万美元的保单。

但常在河边走,哪有不湿鞋。今年7月,Dave的数据库发生了泄漏,而被攻击的是Dave的第三方数据服务提供商Waydev。

这次泄漏几乎涉及了所有的Dave用户,在黑客论坛上免费下载的数据包包含7,516,691条用户记录,包括姓名、电话、住址、出生年月、加密的社保号、电子邮件地址,以及经过Bcrypt哈希处理的密码以及3,092,396个电子邮件地址。

而在免费传播之前,这份数据被另一名黑客以约16,000美元卖给了匿名用户。事情发生之后,Dave第一时间披露了事件,并强制重置所有客户登录凭据,并要求所有客户更改其密码。

在8月21日,Dave再次发布了安全提示,希望用户使用强密码并继续对可能发生的盗刷保持警惕,Dave提出很多建议,其中包括注册免费的万事达卡ID防盗窃业务,以及联系银行使用欺诈警报(fraud alert)或安全冻结(security freeze)。

目前事件还处于发酵过程当中,最后会发生什么样子的事情,一切还不得而知。也许,Dave会被接到高昂的罚单。今年8月7日,美国最高银行业监管机构对Capital One第一资本银行处以8000万美元(合计约5.56亿人民币)的罚款,原因是2019年该银行云服务器发生数据泄漏。

除了罚单,Dave还有可能接到大量的集体诉讼。在Facebook数据泄露案之后,Facebook除了缴纳50亿美元天价罚单,还面对了大量由于数据泄露引起的非索偿集体诉讼。在大量的诉讼面前,Facebook虽不至于伤筋动骨但也灰头土脸。

幸运的是,美国处于疫情过后的经济恢复期,用户普遍需要Dave来为自己规划预算、节省开支甚至提供无息小额贷款,在此时,Dave不会因为数据泄漏而被用户放弃。

但可能的罚单和集体诉讼不免让人担忧Dave的未来。

国外事件与国内发展

在数字经济和金融科技的催生下,商业银行正处在数字化转型的大变局之中,开放银行则是所有银行都在研究的课题。

今年新冠肺炎疫情带来的冲击几乎影响了所有的线下业务,在疫情的影响下银行的数字化进程迅速加快,但是其中存在的风险也很多,信息泄露是其中的重要一点。

8月5日,银保监会官网信息显示,招商银行信用卡中心、交通银行太平洋信用卡中心各被罚100万元,被罚原因均涉及客户个人信息未尽安全保护义务。

7月8日,河北银保监局发布对于沧州银行的行政处罚信息,该行因“信息科技风险管理不到位,严重违反审慎经营规则”的违法违规事实,河北银保监局依据《中华人民共和国银行业监督管理法》第四十六条,责令改正,并对其罚款20万元。

6月19日,江苏银保监局公布了对于江苏江南农村商业银行股份有限公司的行政处罚。处罚信息显示,江苏江南农商行因网络安全工作严重不足,江苏银保监局根据《中华人民共和国银行业监督管理法》第四十六条第(五)项,罚款人民币30万元。

当前,银行已成为国内外敌对势力、黑客组织、不法分子实施网络攻击、电信诈骗和渗透窃密的重点目标,除了传统的SQL注入、DDOS攻击、病毒木马等常见攻击外,针对银行的APT攻击、精准式网络攻击等攻击手段也愈演愈烈。

加强网络安全保护是开放银行或金融科技公司在发展业务时必须要做的事情。Dave之所以发生数据泄露,就是因为其使用的第三数据服务商在几个月前遇到了黑客入侵。

另外,还需要对相关的威胁情报快速相应,如果Dave在第三方数据服务商遭到黑客入侵之后迅速反应,而不是忽略掉这个威胁情报,是完全有可能避免数据泄漏事件的发生。

Dave数据泄漏事件至今没有结果,美国监管对Dave数据泄漏事件的态度也无从猜测。Dave的模式在国内能不能复制?国内银行在开放银行的进程上如何防止此类事件的发生?这一切都需要更多的思考。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消