86万存在光大银行被盗刷面部识别系统被攻破？

　　2021年8月，沈阳的钱云（化名）遭遇了电信诈骗，人脸、指纹等生物识别密码没能挡住对方。一年来，钱云全家都在寻找85万消失的原因和线索，警方告诉他们，钱款已被全部转至境外，案件还在侦破中。
　　银行告诉我们，转账时只要选择了指纹识别，就不会给签约手机发验证码，但这个指纹调用的是手机里的指纹识别结果，不是我岳母的。钱云的女婿李豪（化名）认为，这是导致钱款消失的主要原因。
　　《IT时报》记者分别联系涉事的光大银行沈阳铁西支行和光大银行电话客服，截至发稿，都没有得到银行对此事的说法。
　　1个多月来，关于银行生物识别被攻破的案例屡见报端，诈骗分子骗过了银行的人脸识别安全系统，用App控制了被骗人的手机，利用人脸识别动态密码的方式转走了储户的所有存款。
　　然而，钱云案例中可能呈现出一种新的风险：有些银行在登录、转账时支持的生物识别认证结果，其指纹、面容信息均取自操作者的手机系统。
　　去年10月，李豪在自己的手机上登录了弟弟的光大银行账户，转账输入密码时，银行App申请调用手机的FaceID，李豪用自己的脸通过验证，转账成功。这意味着，最后一道关口，银行将核实密码的权力交给了手机厂商。
　　接到李豪投诉后，《IT时报》记者进行了多日测试，在签约手机、登录密码、验证码等多重验证的情况下，开通面容ID支付并不如李豪测试视频中那么轻而易举，走到最后一步之前，银行设置了重重障碍。
　　然而，允许将手机自身的生物识别结果调用为银行转账时的验证密码，在安卓手机指纹被破解、人脸识别被骗过、大批数据泄露等消息并不鲜见的当下，是否妥当？当越来越多的技术手段被用于银行降低成本时，谁来为风险担责？
　　事件缘起
　　2021年8月初，钱云在家附近的光大银行开设了一张储蓄卡。8月12日晚，钱云发现银行卡里的85万余元消失了。查询后发现，2021年8月3日8月10日间，钱云的账户发生多次转账。今年4月22日国家信访局给李豪的回复中表示，经过大数据查询，钱款已被转往国外账户。
　　生物识别系统可能被双重攻破
　　今年近70岁的钱云，并不太清楚自己的密码在哪个环节泄露了，甚至连自己的人脸信息有没有泄露也不太清楚。家人只能试图从她的描述中还原事件的过程，她在很多网络平台上用的账户密码是相同的，有可能是账户密码泄露了，但在被盗刷几乎同一时间，她接到过诈骗电话，也可能是被诈骗分子利用了。李豪分析，诈骗分子在异地通过账号密码登录了岳母的光大银行手机账户，以假人脸通过了银行的认证系统，并开通了指纹识别密码功能，这样既能进行大额转账，转账时也不需要签约手机收取验证码，加上岳母没有开通余额短信通知，一次次转账在毫不知情的情况下发生了。
　　他的脸可能是你的转账密码
　　账户被盗刷后，李豪多次向光大银行相关人士以及客服人员了解情况，银行人员不经意透露的一个信息震惊了他：转账过程中，银行验证的是机主的指纹或人脸，而非卡主的指纹或人脸。也就是说，只要机主的人脸或指纹能够通过手机验证，给银行一个yes的答案，银行便可以通过验证。
　　这在李豪看来有点匪夷所思，开卡时，我岳母留了自己的指纹和人脸信息，那为何银行不去比对储户信息，而是采用手机给出的验证结果呢？如果A在自己的手机上登录了B的账号，那不就可以用A的人脸去通过面容ID了吗？
　　为了验证这个想法，去年10月，李豪做了一个测试。在李豪发给《IT时报》记者的一段视频中，他在自己的手机上登录了弟弟的光大银行手机账户，给一张没有转账过的银行卡转账1500元，输入交易密码后，手机页面上显示调用FaceID进行人脸识别，此时摄像头对准的是李豪的脸，并非其弟弟的脸，页面显示验证通过，转账成功。
　　理论上，应该是将我弟弟的脸和他在银行预留的生物信息比对才能转账，但从这次测试看，验证的是机主的脸。这种情况带来的财产损失谁来承担？李豪对此颇为不解。
　　记者测试
　　在核实身份和转账过程中，银行生物识别系统到底验证的是谁的信息？
　　记者向多位银行业人士了解，大多数银行验证的是卡主的生物信息，转账时不验证卡主信息，却去验证机主信息，逻辑不对。一位银行业人士表示。农行、邮政储蓄等银行客服人员也表示，验证生物信息时匹配的是卡主信息。系统会综合考虑用户的设备环境，通过验证码、交易密码、生物识别等方式交叉验证用户身份，生物信息是和卡主本人比对。邮政储蓄银行客服人员说。
　　确认：可用面容ID登录他人账户
　　李豪提供的视频显示，此前涉事银行人员明确说，转账时比对的是机主的指纹信息。8月22日，李豪再次致电光大银行客服电话，客服人员同样表示，如果在他人手机上登录自己的银行账号、转账验证的是机主的指纹信息。
　　8月24日《IT时报》记者在拨打光大银行客服热线时，也得到了类似的答案，卡主可以设置采用生物信息识别的额度，如果用了生物信息认证，是没有短信验证码的，只需要交易密码和生物识别通过即可，不过，当银行监测到风险时，会要求转账者先与银行系统里的卡主信息进行比对，通过身份验证后才能继续下一步。
　　8月22日，记者在光大银行上海某网点办理了一张储蓄卡并开通了手机银行。当记者试图在另一部手机上登录此账户时，系统提示，只能使用手机验证码的方式，而且首次登录时，还需要输入登录密码。也就是说，像李豪视频中显示的，仅靠手机号码和登录密码便能进入他人账户，已不可能。
　　但如果像交通银行案例中那样，储户密码泄露、手机被劫持，验证密码被转发至诈骗分子手机中，那这一步便也不再是障碍。
　　随后，通过手机号码、登录密码、验证码，记者同事顺利在她的手机上开通了面容ID登录。也就是说，她在自己的手机上，可以刷脸登录记者的账户。
　　但在开通面容ID支付时，银行App要求先通过人脸认证，也即类似随申码验证时的场景，需要做出点头、摇头等动作，走到这一步，无论是记者的脸，还是同事的脸，在记者同事的手机上均未通过。最终，记者在自己的手机上完成了这个识别过程，但最后开通的面容ID支付，同样调用的是手机本地的识别系统。
　　毕竟离钱云账户被盗刷已过去一年，银行安全系统可能已升级多次，记者无法完整复刻李豪的测试，但至少证明一点，打开面容ID登录功能后，银行App在登录时，确认的是手机机主的验证结果。
　　多家银行支持机主生物密码转账
　　经过多日测试，记者发现：银行的人脸识别系统负责身份验证，手机的生物识别密码负责密码验证。
　　知乎上，一篇认证为云从科技的账号发表了一篇名为《当poweredby云从成为银行标配，光大银行加入！》的文章，其中提及云从科技集中存储客户生物识别信息，并识别人脸、证件，但并没有提及转账交易。
　　《光大银行手机银行面容ID认证服务协议》中则提到，甲方开启面容ID认证功能时，甲方应理解面容信息的采集、存储和比对等服务将由甲方使用的手机或设备及其系统来完成，此类设备可以将用户的生物识别信息与事先录入并存储在该设备上的特征数据进行比对核验。从这句话上也可确认，银行面容ID是与手机里所存储的个人生物信息进行比对。
　　光大银行手机银行面容ID认证服务协议
　　不仅是光大银行，其他银行的用户生物信息协议中，也有类似条款。比如浦发银行生物信息认证协议中提到，指纹、面容生物识别信息特征的录入、修改和删除等管理操作，均由手机系统提供。
　　浦发银行生物信息认证协议
　　8月23日开始，《IT时报》记者多次联系光大银行铁西支行以及支行管理人员未果，光大银行负责投诉的相关客服人员则表示会尽快跟进处理，但截至发稿，也无回音。
　　李豪告诉记者，光大银行认为账户被盗刷的责任在其岳母自身，只能等待警方破案。
　　此前交通银行盗刷案件，银行亦被认为无责。
　　记者观察
　　银行安全防护应高于犯罪手段
　　储户账户被盗刷，谁该负责？
　　翻阅中国裁判文书网，以借记卡纠纷为名的案件大多因盗刷而起，法院判罚大多聚焦于两点：一、储户有无做到妥善保护密码；二、银行有没有完善的安全防护手段。
　　一则早期案例显示，某储户的银行卡被犯罪分子伪造后，在异地盗刷，最后法院认为，银行应保证银行卡具有唯一性和不可复制性，其未能采取技术手段防范银行卡被复制或伪造，故其应当对发行的银行卡存在安全漏洞、技术风险承担责任。
　　银行的防护能力关系到储户的资金安全，当银行业务逐步转移至线上时，判责的逻辑并不应该发生变化。
　　但现实问题是，生物识别认证还没有形成统一的标准，银行使用人脸识别却已相当普遍，各家银行的技术能力参差不齐，在风险防控方面也面临着诸多挑战。
　　《IT时报》曾多次报道因生物识别技术不完善导致真假莫辨，或者因个人生物信息泄露导致存在长期风险的案例。2021年10月，清华大学的一个团队，仅用一副框架眼镜、一张A4纸，便成功解锁了19款安卓手机。
　　当手机的生物识别系统并不是固若金汤时，银行允许甚至推荐用户将其作为支付、转账等关键操作的密码时，可能产生风险，谁来承担责任？记者在登录某些银行App时，便多次被主动询问，是否要使用面容ID登录或支付。
　　清华大学法学院教授劳东燕曾表示，由于相应风险是银行引进人脸识别所导致，也即银行参与了风险的创设，在法律上，谁创设风险，谁原则上就应当对风险现实化的结果承担责任；其次银行在相关业务领域里获益最大，理应承担与获益相称的风险责任；再次，银行防范风险的能力比个人更强，能力越强者责任越大。她建议，全国人大及其常委会有必要考虑对生物识别信息进行单独立法，不应放在《个人信息保护法》的框架下来进行保护。
　　如果真的是因为光大银行在转账过程中，只是比对机主生物信息而非卡主生物信息造成用户财产损失，银行的责任更大些。上述银行业人士向《IT时报》记者表示，对于金融机构来说，远程交易过程中的生物识别是其面临的一大课题。在生物识别验证方面，金融行业应建立统一的标准，技术水平各不相同的银行可以参照执行。此外，风险防控是一种立体的思维方式，银行需要通过技术手段加强一整套风险监测、风险处置的流程。
　　对于银行而言，使用生物信息对用户进行验证，前提是对生物信息的验证和保护必须超过一般的犯罪技术手段，否则，用户财产不翼而飞的事态将会更加严峻。