最近上海警方破获一起大案,从犯罪分子手中截获了3.2亿条已被破解的用户信息。如果按照我国平均每人拥有一个手机号码来算,3.2亿条信息意味着每四个人当中就有一个人的信息已经泄露。后果是什么呢?以其中几位受害者的遭遇为例,就是信用卡被盗刷,“被申请”银行贷款,几十万元的银行账户余额一夜清零,还背了债。
值得注意的是,这几位受害者平时特别注意用卡安全,卡不离身,密码未泄露,转账用U盾,上网用专业版网银。这几年,用户金融账户被盗的案件时有发生,媒体和相关人士反复提醒用户提高警惕,然而事实证明,用户再警惕,有时也敌不过贼的本事。
拿上述案子来说,犯罪分子先用软件“撞库”盗取用户网络身份,然后利用运营商的短信过滤、保管功能或换卡业务的漏洞来获取验证码,利用银行发放贷款程序的漏洞申请贷款……总之,“撞库”之后的整个犯罪过程都是借着运营商和银行业务的漏洞来实现的。假如这些漏洞不补,用户的安全意识再强又有什么用?
移动支付、网上金融等业态,在运营商和银行业务的支持下,因其“便捷”而迅猛发展,但用户的“信任”将决定新业态能否跨越瓶颈,迈向下一个阶段——这个瓶颈,与“安全”有关。现在,账户被盗案件背后的安全问题,不只是用户的信息安全问题,也包括运营商和银行在创新开发业务时造成的各种疏漏与失误。在一次次的案情分析中,我们能看到原因,但还没有对症下药去修正运营商和银行的行为。
运营商推出短信过滤、保管功能等增值服务,在线换卡默认登录人是持卡人本人,银行在发放贷款时简化程序,以及前段时间引起热议的默认免密支付等等,确实都让服务更多样、更便捷,但这些多样和便捷往往是用安全的代价来换取的。这令人联想起滴滴顺风车在下线整改之前饱受争议的某些功能设计——把出行与社交相结合的创意并不是没有价值,但如果以目前的管理手段无法确保安全,就还是暂时搁置的好。
银行和运营商开发增值服务、简化服务流程也是一样,如果风险控制跟不上,这服务该不该开、程序该不该简化就应该打个问号。当前在很多情况下,承担其风险代价的往往不是运营商或银行,而是用户——账户被盗了,需要用户自己奔走索赔、取证,忙得焦头烂额,银行和运营商当然缺乏自身整改的积极性。如果从法规到惯常处理办法都对用户更友好,发生类似问题由银行或运营商负全责,最好还附加赔偿,银行和运营商在改进服务的工作上是否就会更慎重一些呢?至少,如果用户相信自己的损失肯定能找回,面对移动支付、网上金融等业态也能更有安全感。
如果不能用强制性规则和处理办法去引导运营商和银行的做法,再怎么呼吁用户提高安全意识都是空话,就像放着满地明的暗的大坑不填,只管叫行人脚下小心,出事了,路政部门还是得负责。诚然,建议用户提高警惕是有意义的,但这不等于可以把账户安全问题的责任转嫁给用户,只是为了把单个用户可能发生的损失降低一些。关键漏洞在银行和运营商那儿,还是先补上了,再来谈其他吧。