储户近200万巨款存入交通银行不翼而飞 人脸识别漏洞成骗子作案工具
其余几位受害人的被盗刷时间,都集中在2021年6月到9月。那个时间,马跃、夏女士、海女士、赵女士刚好在集中与交通银行交涉人脸识别安全漏洞问题。
交通银行“恰好”在2021年9月停用过人脸识别。
不久,马跃就发现交通银行系统改版了,手机银行已经登不上了,必须升级,马跃认为,银行可能已经修复了漏洞。
但10月份,交通银行又出现了一起人脸识别盗刷案,柳女士交通银行账户资金被犯罪分子用人脸识别+短信拦截。而这仅是马跃知道的6位。马跃猜测,可能还有更多的受害者。
在这6位受害者的时间线里,交通银行与人脸识别技术服务商眼神科技,在活体检测技术上,已经输的一塌糊涂。
起诉交通银行被驳回
判决书未定性“人脸识别漏洞”
根据交行的规定,登录手机银行需要手机验证码+人脸识别双重验证,根据交通银行客服的说法,“马跃”使用了人脸识别重置了密码。
简单概括就是,犯罪分子拦截了短信验证码,通过短信+假人脸识别完成了密码重置、限额调整、大额转账。
境外新设备登录、修改密码、频繁大额转账,如此异常的位置、设备及交易行为,交通银行的风控如何应对的?人脸识别如何通过的?转账限额如何被更改的?
马跃认为,“开卡协议里头约定的是限额5万,超过限额的到柜面办理,协议写的很清楚。《新视界》查看了手机银行的单笔转账规定,通过短信密码工具,转账限额不超过5万,通过人脸识别,可将上限上调至不超过20万。
“如果你确实识别了我真实的人脸,是经过我同意了,但是你识别的不是真人的脸,说不过去。”
自被盗刷以来,马跃等多次上诉至法庭,但对其提出的“谁通过了人脸识别”这一问题,没有具体定性。
图:马跃的诉状
7月5日,马跃告诉《新视界》,6月30日他的申请已被法院驳回,法院判定,交通银行未见存在明显的过错和过失。
图:马跃提供的法院判决书
但他认为,法院回避了交通银行人脸识别漏洞问题,表示会坚持上诉。
拒绝受害者有罪论
如果仅以信息泄漏简单概括这6位受害者的经历,将所有的电信诈骗都归于用户不够谨慎,而不对背后的根源深究,可能会有更多的人继续遭受损失。
奇安信集团行业安全研究中心主任裴智勇此前接受《中国消费者报》采访时说过,智能换脸的技术门槛比绝大多数人的想象要低得多。通过人工智能技术,可以将一张普通的静态照片(正面、侧面均可),转化生成一张表情生动的人脸,以2017年左右的技术水平,已经完全有能力骗过绝大多数人脸识别系统。
裴智勇举过一个用大数据安全验证模型保障用户账户安全的例子,如果用户刷脸支付时,装有支付APP的手机原先一直在北京活动,某一天刷脸行为突然发生在广西,支付系统就应阻止验证被通过。
马跃也在想,如果交行的人脸识别系统安全,应该能识别出当时那张脸非用户本人,及时阻止验证被通过,那犯罪分子根本无法登录账户,后续的密码重置、限额调整、大额转账也就无从下手了。
清华大学公共管理学院副教授贾西津认为,银行系统不能识别真实的脸和假的面孔,那就属于系统漏洞,剩余责任肯定是在银行,不能把责任都推给客户。用户如果存在信息泄露的话有一定过错,但银行肯定不是无责的。
“第一,人脸识别不该通过,但是通过了,第二,安全体系设计本身有漏洞,异地登录、假人脸识别都通过了。在短信出现差错的时候,要看整个安全体系有没有纠正过来。”
中国人民大学法学院副教授郭锐告诉《新视界》,在法律上,即便是由于技术本身无法实现百分之一百的精确,对于造成的损失,银行也应该承担责任,不能以用户信息泄漏的说法逃避责任,除非能够证明用户和犯罪分子进行了互相配合,导致了损失。
