撰文 | 魏英杰
昨天傍晚发生了一件极其诡异恐怖的事情,有必要写出来请教一下专业人士。
事情很简单,当我打开招行企业银行APP,刷脸登录自己的公司账户查看流水的时候,跳出来的账户名称一下子让我懵了——怎么会是东莞的一家公司?
我仔细一看,确实没错,这非但不是我管理的企业账户,而且企业名称、管理人完全不一样。我还以为是什么广告页面,点击了本来是隐藏的余额设置,也能显示详细余额(只有128.74 元)。
这下我忽然意识到,可能是银行系统出了 bug。当我想退出时,忽然觉得,事情似乎没那么简单。于是点击了录屏,对相关操作进行了录制,然后才退出。重新登录后,显示一切正常,又回到了我自己公司的页面。
平静下来细想,这事情真的不简单啊。我刷脸登录银行账户,却刷进了别人的银行账户,那么,是不是别人也可能刷脸误登录我的账户?我不敢点转账功能,但万一对方比我更有好奇心,点了转账功能,是不是可以进行转账(照理应该有密码或短信验证)。
这是不是说明银行的刷脸识别系统有漏洞?那如果这个漏洞被非法分子掌握怎么办?我的银行账户还安全吗?
我后来查询了一下,确实有发生过刷脸被诈骗分子转走账户里的钱的案例。不过这大多是受骗人在诈骗分子的误导下进行视频通话,从而人脸信息被盗用(还要加上其他拦截短信通知的专业操作),这才可能被盗刷。但是,光刷脸登录这个漏洞,也足够可怕的了。
从类似案例,我发现银行的人脸技术往往是外包给第三方的,一旦发生盗刷问题,银行和第三方又经常会互相推卸责任。也就是说,万一发生这种事情,银行并不是会直接把责任归于自身。那么,如果银行说刷脸登录别人公司是我自己操作不当,甚至否认有这事情发生,那我怎么说清楚?
我把这事情发到朋友圈,有些人调侃我有个亲兄弟在异乡,但也有人很敏锐地发现更多问题所在。比如,我说要关掉所有银行的刷脸登录功能,有朋友就说,如果对方也能刷脸,同样可以反过来打开刷脸功能。如果是这样,岂不是自己都没有办法不刷脸了?或者说,账户就可能被人一直控制?
最后还要说一下,我登录的招行企业银行APP可真是货真价实的招行官方APP,各家银行都有自己的企业银行APP,可想而知,这个漏洞不是影响一个地方的企业,而是整个招行系统的企业。
昨晚,我已经将问题上报给我所在的开户行,他们也在向总行询问到底是怎么回事。不知道有没有人碰到过跟我类似的情形,或者知道这到底是怎么回事的?
*封面图片由微信系统AI生成