先补银行运营商漏洞 再谈用户安全意识
先补银行运营商漏洞 再谈用户安全意识
2018-11-02 09:45:31 来源:新浪科技抢沙发
2018-11-02 09:45:31 来源:新浪科技
摘要:如果不能用强制性规则和处理办法去引导运营商和银行的做法,再怎么呼吁用户提高安全意识都是空话,就像放着满地明的暗的大坑不填,只管叫行人脚下小心,出事了,路政部门还是得负责。
关键词:
安全意识
最近上海警方破获一起大案,从犯罪分子手中截获了3.2亿条已被破解的用户信息。如果按照我国平均每人拥有一个手机号码来算,3.2亿条信息意味着每四个人当中就有一个人的信息已经泄露。后果是什么呢?以其中几位受害者的遭遇为例,就是信用卡被盗刷,“被申请”银行贷款,几十万元的银行账户余额一夜清零,还背了债。
值得注意的是,这几位受害者平时特别注意用卡安全,卡不离身,密码未泄露,转账用U盾,上网用专业版网银。这几年,用户金融账户被盗的案件时有发生,媒体和相关人士反复提醒用户提高警惕,然而事实证明,用户再警惕,有时也敌不过贼的本事。
拿上述案子来说,犯罪分子先用软件“撞库”盗取用户网络身份,然后利用运营商的短信过滤、保管功能或换卡业务的漏洞来获取验证码,利用银行发放贷款程序的漏洞申请贷款……总之,“撞库”之后的整个犯罪过程都是借着运营商和银行业务的漏洞来实现的。假如这些漏洞不补,用户的安全意识再强又有什么用?
移动支付、网上金融等业态,在运营商和银行业务的支持下,因其“便捷”而迅猛发展,但用户的“信任”将决定新业态能否跨越瓶颈,迈向下一个阶段——这个瓶颈,与“安全”有关。现在,账户被盗案件背后的安全问题,不只是用户的信息安全问题,也包括运营商和银行在创新开发业务时造成的各种疏漏与失误。在一次次的案情分析中,我们能看到原因,但还没有对症下药去修正运营商和银行的行为。
运营商推出短信过滤、保管功能等增值服务,在线换卡默认登录人是持卡人本人,银行在发放贷款时简化程序,以及前段时间引起热议的默认免密支付等等,确实都让服务更多样、更便捷,但这些多样和便捷往往是用安全的代价来换取的。这令人联想起滴滴顺风车在下线整改之前饱受争议的某些功能设计——把出行与社交相结合的创意并不是没有价值,但如果以目前的管理手段无法确保安全,就还是暂时搁置的好。
银行和运营商开发增值服务、简化服务流程也是一样,如果风险控制跟不上,这服务该不该开、程序该不该简化就应该打个问号。当前在很多情况下,承担其风险代价的往往不是运营商或银行,而是用户——账户被盗了,需要用户自己奔走索赔、取证,忙得焦头烂额,银行和运营商当然缺乏自身整改的积极性。如果从法规到惯常处理办法都对用户更友好,发生类似问题由银行或运营商负全责,最好还附加赔偿,银行和运营商在改进服务的工作上是否就会更慎重一些呢?至少,如果用户相信自己的损失肯定能找回,面对移动支付、网上金融等业态也能更有安全感。
如果不能用强制性规则和处理办法去引导运营商和银行的做法,再怎么呼吁用户提高安全意识都是空话,就像放着满地明的暗的大坑不填,只管叫行人脚下小心,出事了,路政部门还是得负责。诚然,建议用户提高警惕是有意义的,但这不等于可以把账户安全问题的责任转嫁给用户,只是为了把单个用户可能发生的损失降低一些。关键漏洞在银行和运营商那儿,还是先补上了,再来谈其他吧。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:kongwen
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。