日前,一起疑似涉及银行人脸识别漏洞的盗刷案件引发舆论关注。交通银行一名储户陷入诈骗圈套,手机短信被拦截,手机被设置呼叫转移,导致短信验证码落入骗子手中,同时,银行系统后台显示,在进行需要人脸识别的密码重置和大额转账时,该储户进行了6次人脸识别比对,均显示“活检成功”,实际上均为骗徒在异地通过假人脸识别操作的。被骗走40余万的储户以“借记卡纠纷”为由将交通银行告上法庭,要求赔偿,一审法院认定是储户不审慎所致,判交通银行不承担责任,但并未对涉事银行“人脸识别漏洞”情况作出定性。
这起案件之所以引发公众关注,并非因为判决或案件细节,而在于其暴露了涉事银行的人脸识别系统所谓的活体检测认证,实际上并不需要活体检测就能通过。就个案而言,有观点认为是由于储户被骗子以公安机关名义诱骗下载了木马App并进行了人脸识别的操作被骗子截取制作成素材,从而骗过人脸识别系统,不能称之为“人脸识别系统被攻破”。然而,问题的核心却在于,银行的人脸识别系统可以用以更改密码和提款上限,应当是安全等级最高、最为严密的系统,为其提供人脸识别系统服务的公司也称之为“只有本人可用”的“生物密码”,可实际上,这一套活体检测系统甚至检测的不是活体而只是截取的人脸识别素材都能通过验证,这样的安全等级完全不能算高。
值得注意的是,公众关注的重点不在个案而是人脸识别系统的安全性,而银行人脸识别系统的安全问题也很可能不仅限于交通银行。交通银行的人脸识别服务商为北京眼神科技有限公司,其负责人表示,公司服务包括工、农、中、建、交、邮储六大国有银行和多家股份制银行在内的一百多家银行十余年。如果该负责人的介绍属实,这就意味着这一套安全等级并不算高的人脸识别系统,很可能是大多数银行的主流选择,那么,大银行的人脸识别系统安全等级如何,着实需要郑重回应,以释公众疑虑。
实际上,早在此前,学界与媒体均已“攻破”过银行的人脸识别系统,并通过测试作出过提醒。2021年2月,清华大学Real AI研究团队利用对抗样本干扰技术,15分钟内破解19款安卓手机人脸识别系统,并利用同样的方法成功“骗”过了部分金融App的人脸识别,该团队提醒“眨眨眼、张张嘴等活体经过我们验证基本是无效的,相比之下支付类App使用的人脸识别技术更加谨慎”。而这正是大多数银行正在使用的活体检测人脸识别方式。央视3.15也曾曝光过主持人现场直接“换脸”,骗过App,完成了活体检测认证。对人脸识别多有关注的清华大学法学院教授劳东燕指出,从制度框架的合理设定来考虑,制造更多风险、获取更多收益的一方理应承担更多的风险与责任,“人脸识别是银行引进的,其是作为风险制造的参与方,通过这种方式银行也获益更多,应该承担和其所获收益成比例的风险责任”。
人脸识别本来应该为用户提供更高级别的安全保障,但在监控遍地的当下,极为敏感的人脸信息暴露得更为严重,尤其在公司和小区的门禁都大量使用人脸识别的情况下,人脸信息的泄露也十分严重。这样的背景之下,如果银行用作最高保障级别的人脸识别系统能被非活体检测的方式骗过,问题可谓极为严重,无论个案责任如何划分,这一问题都必须解决,因其涉及的是公民财产的根本保障。
可以被非活体验证甚至合成素材“骗”过的人脸识别系统安全等级与其对应的风控范围极不匹配,金融安全监管部门应当介入以敦促相关银行作出回应并提升人脸识别系统的安全性。银行人脸识别系统不仅应当有最高级别的安全性,更应当随着人工智能的发展不断提升保障水平。
关键词:
交通银行盗刷案件
银行人脸识别漏洞
非活体检测识别
银行人脸识别系统
银行大额转账如何验证