杭州市民魏先生刷脸登录银行企业客户端竟登出他人账号
使用面部识别登录应用程序、查询账户信息、进行支付等操作,这套流程让大多数人感到熟悉,并且认为它十分便捷。
然而,近期杭州市的魏先生遭遇了一桩意想不到的麻烦,他在尝试登录某银行的企业版客户端时,通过刷脸识别技术解锁的却是他人的账户信息。
魏先生不禁心生疑窦,他质疑道:“这难道是程序中的缺陷吗?手机使用面部识别技术,真的能够确保安全吗?”
图源 图虫网
刷脸登上的是别家公司?
银行回复:初步判断是网络波动
魏先生名下经营着一家新媒体公司。
1月2日这一天,他照例进入了那家银行的商务版客户端,打算浏览自家公司的金融事务状况,"我通常只通过手机客户端来查询信息,而转账这类操作则必须经过流程,并且由财务部门来执行。"
魏先生轻而易举地完成了刷脸登录,程序迅速作出反应,紧接着,他察觉到了异常——客户端上显示的个人资料并非他所在公司的信息。
这家位于东莞的创意设计公司脱颖而出,其负责人姓李。借助魏先生提供的录屏资料,我们得以一窥该公司金融方面的详细信息,诸如企业资料、管理人员的名字、账户余额以及金融产品等相关信息。
为防止争执,魏先生在保存相关证据后便离开了该账户。此后,他屡次尝试重新登录,却未曾再遇到类似的问题。
魏先生登录后并非自己的账户 受访者供图
魏先生表示,他在该银行注册已有四年之久了,却首次遭遇此类事件,“若有一天他人擅自登录我的账户,岂不是等同于暴露了我们客户的隐私信息?这让我感到非常不可思议。”
魏先生随即就将相关情况反馈给了自己的客户经理。
3日晚间,银行相关负责人与客户经理上门和魏先生解释了情况。
魏先生回忆说,银行方面称这属于由网络波动引起的极低频率的偶然情况,并强调客户端登录依赖的是手机内置的刷脸识别技术,而金融支付则采用了银行独立开发的一套系统,该系统在可靠性和安全性方面更为优越,“他们反复向我保证,金融安全是完全没有问题的。”
1月4日,记者拨打了魏先生的银行账户开户行电话,然而由于正值周末,大堂经理告知需在详细了解情况后给予答复。至稿件截稿时,记者尚未接到任何回复。
银行客户端提醒启用人脸识别
“刷脸”一般调用手机储存信息
登录和支付基本都是两套系统
对于魏先生遇到的情况,记者也咨询了资深程序开发人员。
业内人士指出,无论是采用指纹识别还是面部识别进行登录,通常情况下都是通过调用手机本地存储的人脸或指纹数据,成功匹配后,自动将存储在钥匙串中的账号密码信息填充进去,从而完成登录。在打开与账号密码关联的账户信息时,若网络出现波动,有可能导致传输的账户信息出现错误,尽管这种情况发生的几率较低。
对于安全性要求较高的支付系统,通常情况下,程序开发者会采用“微信、支付宝”等第三方支付接口来构建支付功能。与此同时,银行客户端会独立研发相应的支付系统。在逻辑上,支付系统与登录系统是分开的,而且登录系统对人脸识别的精度也明显不如支付系统。
在采访过程中,记者尝试引导魏先生利用该银行提供的客户端完成支付操作,实际上在人脸识别登录成功后,还需通过核对短信中的验证码等手段来验证支付信息的准确性。
系统截图
记者随机选取了一个银行客户端进行操作,登录初始界面时,系统弹出提示要求用户选择是否激活刷脸认证功能。此外,系统还明确指出,人脸信息将被银行收集并用于身份验证。与此同时,在指纹登录授权页面,系统亦提示用户所设置的指纹登录权限仅限于当前设备。
对此,这位程序员如此阐述,手机功能的演进催生了刷脸技术,这一附加功能是建立在手机硬件基础之上的,并随着手机技术的进步而逐渐形成。
以苹果手机为例,其指纹识别功能首次在5s机型上亮相。在此之前,用户只能通过密码或图形图案进行登录。至于人脸识别技术,则需再等待四年。过去,在强光、暗光等不同环境下,识别率往往较低。然而,随着科技的不断进步,手机的功能日益智能化,识别准确率显著提升。魏先生所遇到的情况,可以说是微乎其微。
当然,这位程序员指出,魏先生所遭遇的问题,或许是在程序更新过程中出现了缺陷,这需要我们进行深入的检查。
信息泄露怎么办?
律师:保留证据,维护自己的合法权益
近年来,人脸识别技术的进步引发了公众对个人隐私保护的持续忧虑。
人脸识别技术具有正面效应,然而必须警惕其不当使用。在个人信息保护方面,我们必须从根本入手进行防范。北京市京师律师事务所的律师孟博指出,2021年最高人民法院颁布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,并自当年8月1日起正式实施。该规定提升了信息处理者的违法代价,简化了用户维权的过程,迫使相关责任主体依法行事,确保切实履行主体责任。
《规定》第八条明确指出,若信息处理者在处理人脸信息时侵犯了自然人的个人权益并导致其财产受损,该自然人可依据《民法典》第一千一百八十二条的相关规定,向人民法院提出财产损害赔偿的诉求,而法院将依法对其主张给予支持。
若魏先生遭遇类似状况并遭受实际损失,则可向人民法院提起诉讼,要求银行承担相应责任并索要赔偿。
孟博进一步指出,依据《网络安全法》以及《规定》的相关条款,信息处理者需采取适当的技术手段或其他必要手段,以保障所收集和存储的人脸信息的安全,防止其发生泄露、篡改或丢失的情况。若侵犯公民个人信息,相关责任者将面临民事、行政乃至刑事的追责。“遭受信息泄露的用户,可通过提起民事诉讼或向公安机关报案等途径,来维护自身的合法权益。”