“00后”黑客攻破厦门银行App人脸识别系统,伪造76个假账户,怎么做到的?「4·1线上研讨」
案例分享
被告人田世纪2000年1月出生,初中文化,无业,户籍地河南夏邑县。2019年1月5日至15日,田世纪在用银行App注册账户的过程中,先输入本人身份信息,待进行人脸识别步骤时,利用软件抓包技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。
根据公诉机关的指控,2019年1月5日至1月15日期间,被告人田世纪通过软件抓包、PS身份证等非法手段,在厦门银行手机银行APP内使用虚假身份信息注册银行Ⅱ、Ⅲ类账户。其在注册账户过程中,先输入本人身份信息,待进行人脸识别步骤时,利用软件抓包技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。尔后,在输入开卡密码步骤,被告人田世纪将APP返回到第一步(上传身份证照片之步骤),输入伪造的身份信息,并再次进入到人脸识别之身份验证步骤,此时,其上传此前拦截下来的包含其本人的身份信息数据包,使系统误以为要比对其本人的身份信息,其遂用本人人脸通过银行系统人脸识别比对,使得成功利用虚假身份信息注册到银行账户。
张宇男为田世纪的买家之一,低价购买田世纪以虚假身份骗领的银行账户,再加价售出,并向其他人出售以假身份骗取银行账户的手段,从中牟利。
通过上述方法,田世纪成功注册厦门银行Ⅱ类账户76个,并通过网络售卖赚取22010元。田世纪的行为导致厦门银行从2019年1月18日至今一直关闭手机银行App中Ⅱ类、Ⅲ类账户开户链接功能。
银行Ⅱ、Ⅲ类账户区别于Ⅰ类账户,后者为全功能账户,前者为虚拟的电子账户,在Ⅰ类账户的基础上功能递减。
田世纪因非法获取计算机信息系统罪,被判处有期徒刑三年,并处罚金一万元。张宇男具有坦白从轻处罚情节,被判处有期徒七个月,并处罚金五千元。
据田世纪的辩护律师称,田世纪此前在 QQ 群看到有利用漏洞办理银行Ⅱ、Ⅲ类账户的情况,下载了多家商业银行 App 尝试,并通过其本人真实信息办理了两三张厦门银行Ⅱ、Ⅲ类账户熟悉流程,后通过网络学习抓包原理,偶然发现厦门银行 App 存在漏洞,通过替换信息的方式可以开设账户。
该事件可概述为一起「黑客」攻破厦门银行 App 人脸识别系统事件。实际上,据判决书显示,田世纪所利用的抓包技术并不稀奇,算不上是「高科技」。抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全。抓包通常被用来进行数据截取等。
据财新报道分析,出现上述案件的原因在于未对人脸身份和提交的身份信息做校验。通常情况下网络安全人员会默认客户端提交的信息是需要严格校验、充分测试的,但测试是相对复杂的工程,上述案件中银行可能未考虑到抓包替换的路径问题。
此外,央行 302 号文件针对Ⅱ/Ⅲ类账户开立,变更和撤销等环节进行了明确说明。
1)通过电子渠道开立Ⅱ类户,必须绑定自己的Ⅰ类户或信用卡账户。需要进行五要素认证即:姓名,身份证号,手机号,绑定账户账号和绑定账户是否为Ⅰ类户或信用卡账户。
2)通过电子渠道开立Ⅲ类户,对绑定的账户要进行四要素认证即:姓名,身份证号,手机号和绑定账户账号。
在该案件中,如果进行了五要素验证,则必须用受害者的身份开一张 I 类卡,而且预留受害者本人的手机号,那么攻击成本将会大大增加。
最后,银行也未能有效防止重放攻击。所谓重放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
在该案件中,田世纪使用的作案手法并不是像一般犯罪分子一样用技术手段攻破 3D 人脸识别系统,只是用自己的人脸识别身份认证数据包换掉虚假身份的人脸识别身份认证数据包,然后使用本人的脸完成人脸识别比对。以一种「偷梁换柱」的方式绕过系统的审核。
近几年,人脸识别认证应用在互联网市场得到大规模的应用与推广,除了此次案件所涉的手机银行应用外,市面上绝大多数的支付类应用、社交类、婚恋类等应用都要求进行人脸识别生物认证,以提高账户安全级别。
但是目前国内对人脸识别所涉及的隐私问题、技术问题缺乏重视,相关应用在功能设计、校验等方面缺乏严谨性,也容易给「钻空子」的人留下可乘之机(信息来源:全球人工智能科学研究院).
犯罪份子绳之以法了?但问题尚没有解决。作为企业和银行我们如何做好风险管控?如何做好信息合规管理工作?请参与我们的系列沙龙《〈个人信息安全规范〉中那些风控工具到底长得啥样?》
《个人信息安全规范》合规需要不少合规工具,比如:
个人信息安全影响评估
个人信息安全工程建设
安全审计
但这些工具到底长得啥样?
要博采众长,我们因此特意邀请
Dentons德国办公室Christian Schefold博士加入分享他的心得
Schefold博士原来是Daimler的合规官
现是Dentons柏林办公室的合伙人
主导、参与了众多世界知名企业GDPR的合规项目
您不容错过
因Dentons德国同事加入分享
原定3月30日下午2:00-4:00的合规沙龙
改为4月1日下午2:00-4:00
敬请周知!
沙龙背景
欧盟《通用数据保护条例》(以下简称GDPR)自2018年生效施行以来,受到了世界瞩目,也形成了诸多有益的实践经验。这些经验将极大帮助我们理解和应用《个人信息安全规范》里的合规工具。
为了更好的回应企业对上述问题的关切,提供实实在在落地的解决方案,我们特意邀请了大成Dentons柏林办公室负责牵头GDPR业务的合伙人Christian,从GDPR最佳实践的角度帮助大家更好理解《规范》中的合规工具。
亲自参与《规范》征求意见稿修订讨论的“合规官+律师”与具有多年编程经验的“高级程序员+律师”将与我们的GDPR德国律师一起在4月1日(周三)下午的线上沙龙中,手把手教大家完成《规范》提出的“作业”。《规范》中的合规工具长得啥样?GDPR又将如何与《规范》中的合规工具优势互补?欢迎报名参加4月1日的沙龙。《规范》中的这些工具包括:
个人信息安全影响评估
个人信息安全工程建设
安全审计
2016年《网络安全法》实施后,对于如何做好网络安全与信息管理工作,相关机构与行业组织出台了很多的法规及标准,可以说纷繁复杂、千头万绪,导致很多企业无所适从。
3月6日颁布的《个人信息安全规范》(以下简称“规范”)将于2020年10月1日正式施行,围绕个人信息的保护与治理提出了一系列贴近行业实践的新要求,但里面的一些合规工具很多人还是不甚了了。
《规范》11.4明确提出个人信息控制者应开展个人信息安全影响评估,“应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险”。个人信息安全影响评估与以风险为基础的个人信息风险识别与评价是何关系,如何依据控制性合规义务建立控制措施?又该如何建立这个制度?
11.7明确提出个人信息控制者应进行安全审计。开展安全审计前期需要哪些准备工作,如何针对禁止性义务进行实质性测试,如何针对控制性义务进行控制性测试?
11.2提出开发具有处理个人信息功能的产品或服务时,个人信息控制者宜进行个人信息安全工程建设。如何做到compliance by design?如何在风险识别评价与控制的过程中进行有效的合规管理,在相应的流程中找出控制节点,从而“保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用”?
《规范》征求意见稿
在2019年10月,由全国信息安全标准化技术委员会主办、全国信息安全标准化技术委员会秘书处及中国电子技术标准化研究院承办的信安标委2019年第二次工作组“会议周”在重庆召开。全国信息安全标准化技术委员会SWG-BDS工作组讨论了若干重要草案,其中最重要的一个草案就是《个人信息安全规范(征求意见稿)》。陈立彤律师积极地参与了《个人信息安全规范(征求意见稿)》的修订讨论。作为标准修订的亲历者之一,陈立彤律师将结合他的实务经验通过本次线上沙龙进一步为大家分享《个人信息安全规范》中提出的合规工具:
个人信息安全影响评估
个人信息安全工程建设
安全审计
全国信息安全标准化委员会 2019年第二次工作组“会议周”侧记
沙龙嘉宾
陈立彤律师
大成Dentons上海办公室
高级合伙人
中国律师、美国纽约州律师、福特公司前亚太区合规总监;香港国际仲裁中心仲裁员、国际风险与合规协会副会长、国际标准组织ISO技术委员会TC309相关工作组成员,作为中国代表团成员参与制定组织治理、合规管理体系、反贿赂管理体系、法律风险管理等ISO标准并担任中国国家标准《合规管理体系指南》工作组副组长、担任中兴康讯的独董及出口委员会委员;入选司法部“全国千名涉外律师人才名单”,钱伯斯2020亚太榜公司调查/反腐败领域受认可律师。陈立彤律师为某世界知名互联网搜索引擎公司的无人驾驶项目提供全方位的法律与合规服务,是全球智能网联论坛运营公司首席数据合规顾问,该公司是全国信息安全标准化技术委员会SWG-BDS大数据安全特别工作组——该工作组负责起草修订的标准之一是《信息安全技术 个人信息安全规范》。
Christian Schefold
大成Dentons柏林办公室
合伙人
Christian Schefold是大成Dentons柏林办公室的合伙人。Christian是爱丁堡大学法学硕士,美因茨大学法学博士,专注于合规管理、公司业务、数据保护和安全。Christian在加入大成Dentons柏林办公室之前领导了戴姆勒集团的合规咨询部门,他负责在全球戴姆勒集团内建立合规网络。在此之前,他曾在戴姆勒金融服务公司担任数年的高级顾问,主要负责网络安全与数据保护。
赵云虎律师
大成Dentons上海办公室
律师
上海交通大学工学硕士、华东政法大学法律硕士,拥有专利代理人资格以及高级程序员资格,曾任职于华为、中兴等国际知名ICT企业,具有长期的海外工作经验。赵律师的执业领域主要为知识产权,尤其是ICT领域的专利、软件著作权、商业秘密类知识产权法律业务为网安及数据治理提供了技术支持和差异化优势。
沙龙时间及参会方式
时间:2020年4月1日 下午2:00–4:00。
参会方式:Skype或钉钉(选择Skype参会的嘉宾届时将通过报名邮箱收到会议链接,选择钉钉参会的嘉宾届时将收到邀请码进入钉钉群并通过群直播参与沙龙)。
沙龙报名方式
请用工作邮箱发送报名邮件至 info@compliance.com.cn,抄送至 henry.chen@dentons.cn。
邮件中请注明姓名、公司、职务以及参会方式(Skype或钉钉)。
陈立彤律师
正在用英文撰写Bribery Risk Management in China
该书将由国际顶级法律出版社出版
为了配合该书的撰写、出版
中国合规网针对中国市场发起调查《中国企业贿赂风险管理》
麻烦您化1分钟的时间参与本次调查
多谢!
大成Dentons全球同一个平台、无缝对接全球资源为您的合规保驾护航,他们中:
既有中国律师,也有美国律师、欧盟律师、英国律师及70多个国家和地区的律师
有由克林顿总统任命担任过美国密苏里州西部地区检察长
有担任过23年联邦检察官、美国总检察长助理以及美国司法部执法政策顾问
有在跨国企业担任法务总监、合规总监的第一手企业管理经验
参与了ISO反贿赂管理体系、合规管理体系、法律风险管理体系的制定并参与撰写ISO反贿赂管理体系手册
参与了众多央企、民企、外企合规管理体系建设项目
建设有合规管理体系IT平台的实务经验