刚把近50万元存入新开通的交通银行卡,既没有操作人脸识别也没有输入密码,账户中的资金就被骗子全骗走了?日前,一起疑似涉及交通银行人脸识别漏洞的盗刷案件,引发关注。
近日,南都记者联系上事主小雪(化名),其提供的一份其起诉交通银行的民事裁判书显示,小雪在事发当日并未离开北京,而警方调查发现,密码重置和大额转账的IP地址为中国台湾,其中7次通过了人脸识别,6次“活检成功”。最终,法院并未对银行的“人脸识别漏洞”作出定性,判涉事的交通银行不担责。
小雪告诉南都记者,她决定继续上诉。
储户被骗子诱导转账到新银行卡,随后钱不翼而飞
小雪向南都记者提供的一份北京市丰台区人民法院民事裁判书中,记录了其陷入“协助调查”骗局的过程:
2021年6月19日上午,小雪接到自称是“北京市公安局户政科警官”的电话,声称其在哈尔滨涉嫌非法入境,随后为其转接到了自称“哈尔滨市刘警官”处。
“哈尔滨市刘警官”称,小雪涉嫌反洗钱案,让其登录一个网址看公文,并从该网站上下载“公安防护App”“瞩目App”,开启会议模式通过视频验证是否为本人,并进行手机屏幕共享,指示其将手机拦截电话、短信等功能开启。随后,还要求其办理一张交通银行卡并把所有银行的存款全部转入内,以此“核实个人资产”。
小雪回忆,对方曾以“国有大行安全措施比较好”的借口,来说服她到交通银行办卡。随后,她前往交通银行北京长辛店支行,办理了一张新的交通银行借记卡,并将近50万的储蓄资金从其他银行转入到该交通银行账户。小雪说,其还曾被要求将所有贷款额度用满,借钱转入新的交通银行借记卡,但她并未照做。
南都记者查询获悉,根据交通银行的相关规定,登录手机银行需要手机验证码和人脸识别双重验证,交通银行手机银行的单笔转账规定也显示,“通过短信密码工具,转账限额不超过5万,通过人脸识别,可将上限上调至不超过20万。”
小雪称,在此期间,她没有下载手机银行App,也未操作过人脸识别和输入密码,然而,随后她发现账上近50万资金被转走,为此,她起诉涉事的交通银行。
法院认定是储户不审慎所致,判交通银行不承担责任
事主既未下载手机银行App,也未操作过人脸识别和输入密码,何以账上近50万资金能被转走?
在小雪的案件中,警方向银行调取的内容显示,密码重置和大额转账的IP地址为中国台湾,使用的是短信验证和人脸识别的方式。然而,小雪当天并未离开北京,但银行系统却7次通过了人脸识别,6次通过活检。也就是说,骗子拦截了事主短信验证码,通过短信和假人脸识别完成了密码重置、限额调整、大额转账的全过程。
然而,一审法院并未对涉事银行“人脸识别漏洞”情况作出定性。法院一审判决认为,整个过程中是小雪自己按案外人的指令下载了相关App、开启电话及短信拦截等,才导致发生身份识别信息、交易验证信息泄露的风险,认定该案是小雪不审慎所致,判交通银行不承担责任。
“如果确实识别了我真实的人脸,是经过我同意了,但现在识别的并不是真人的脸,这说不过去。”小雪向南都记者表示,骗子最终能成功骗取资金,是因为交通银行“人脸识别存在漏洞”,致使骗子用假人脸识别从银行骗取储户钱款,她认为涉事交通银行应承担责任,她会继续上诉。
多名储户质疑交通银行人脸识别有漏洞
小雪的遭遇并非孤例。南都记者了解到,目前至少有5位一样疑因“交通银行人脸识别漏洞”被盗刷的用户,都集中在2021年6月到9月,他们的遭遇与小雪相似,都是被犯罪分子诱骗、将钱存入了交通银行,随后交通银行账户内的钱被席卷一空。其中一位事主的盗刷者除了都是中国台湾IP地址,连使用的手机型号都与小雪案中骗子一样。他们与小雪互相联系,并决定通过诉讼维权。
小雪认为,6起案件中骗子都要求开通交通银行,很可能是因为骗子发现了交通银行人脸识别存在的漏洞。南都记者留意到,交通银行手机银行曾在2021年9月暂停使用过人脸识别,进行了系统改版升级,随后恢复了手机银行的使用。
近日,南都记者就该案可能涉及“人脸识别漏洞”的情况,咨询涉事交通银行股份有限公司北京长辛店支行,该行工作人员表示,不接受采访。
清律律师事务所首席合伙人、律师熊定中长期关注数据安全。他认为,在小雪的案件中,银行“人脸识别技术是否存在漏洞”的情况不能被忽略,如果真因为人脸技术识别了假人脸导致损失,作为要求使用人脸识别技术作为验证手段的一方,理应承担责任。
他向南都记者指出,近年来人脸识别技术的风险主要有两个方向,包括因人脸识别技术本身的不完善导致识别假人脸的情况,以及人脸识别数据泄露风险。“人脸识别技术水平无疑要进一步提高,在技术水平未达到但错误率可被接受的情况下,使用该技术的一方也有义务提供更多的检验方案,来确保交易安全。”
关键词:
交通银行人脸识别漏洞
交通银行储户遭盗刷50万
人脸识别漏洞
四大国有银行
交通银行被判不担责