我不知道在编辑界面明文展示身份证号码能提升多少百分比的用户使用体验友好度,但安全性的差别就是0%和100%。

今天在朋友圈看到一篇文章《央行科技司司长李伟:金融科技发展应重视个人信息保护》,我的案子刚好与文章里提到的部分内容应景。李司长在9月8日的发布会上提了三块内容:

  • 一是重视个人信息保护,善用数据要素价值。

  • 二是重视数字鸿沟问题,践行数字普惠金融。

  • 三是重视监管科技应用,增强数字化监管能力。

其中第三部分提到:部分机构在利用技术创新业务模式、提升服务效率、改善用户体验的同时,一定程度上简化了业务流程、削弱了风控强度、掩盖了业务本质,这给金融监管提出新挑战。

回看现在各大支付APP热推的”快捷绑卡”业务,相比之前的银行卡绑定流程,是简单快捷了一些,但金融业务,是越简单快捷越好么?昨天我的文章火了后,很多邻居说忘记了自己在哪家银行开过银行卡,想找出来注销掉,问有什么办法。

最后再谈下我上篇文章中提到的让大家设置手机SIM卡密码,主要有几点考虑:

  • 手机锁屏状态下对方无法使用短信功能;

  • 如果更换手机卡至新手机则需要输入SIM卡密码;

  • 要解锁SIM,需要从运营商获取PUK码;

  • 要获取PUK码,需要提供身份信息进行验证;

  • 未解锁手机的情况下加上SIM卡加锁,对方无法知道你的手机号码,这样断了获取身份信息的路。

当然,这样一个安全闭环里也还是有些风险,例如利用GSM中间人攻击获取到号码,但这类一般人遇不到,对普通民众来说可以不用考虑。第一时间挂失手机卡,这一点还是必要的行动,也希望运营商在我这个案件之后,会作出相应的改变。

俗话说“靠人人跑,靠树树倒”,还是靠自己靠谱些,按现在移动金融业务的发展趋势,将来会面临更加严峻的安全挑战;而且金融业务用到的部分关键要素信息,如手机号码、身份证号码在常规移动互联网业务中的交叉使用,数据泄露的风险将越来越大。虽然部分金融机构都给出了被盗刷后的赔付承诺,案件发生在自己身上后你能否符合赔付的标准条件不好说,耗费大量时间精力在这件事上面,也是很心累的。

此外,上篇文章中我按我自己手机的操作流程步骤作为SIM卡设置密码的例子,后来发现很多网友可能由于手机品牌型号差异导致操作失误而锁住SIM卡,对此给大家造成的不便给大家道个歉,考虑不周啊。大家还是在网上搜索自己的手机对应品牌的SIM卡密码设置然后按照详细教程一步一步操作,如遇到SIM卡密码验证失败后出现PUK码输入要求,可联系运营商获取PUK码。请一定小心谨慎,必要时可到运营商营业厅设置。

自己长期从事金融行业信息系统的安全漏洞检测,也曾多次被自己发现的可直接影响账户资金安全的漏洞而震惊,但经历了这次盗刷事件之后我才发现,相比黑客利用各种高深的技术漏洞攻击金融信息系统,更可怕的是这种把每一项看似没问题的问题组合而成的犯罪,让人防不胜防。也希望今后在工作之余,能有时间把自己在金融信息安全行业的专业知识,用大家都能看得懂的方式写出来,提高大家的安全防范意识。