刷脸频爆安全风险:头部企业倡议风险防范共识
随着刷脸支付的日益普及,数亿人的资金、账户甚至个人隐私等安全风险已经不容忽视。
在好莱坞十几年前的动作电影中,就有很多特工通过制作3D面具破解生物识别密码的桥段。而这些曾经令人觉得酷炫的科幻想象,似乎随着科技的进步正在成为现实,而随着人脸识别、刷脸支付、指纹支付的普及,这种安全隐患也逐渐成为一种全民忧患。
近日,美国一家名为Kneron的人工智能公司宣称使用3D面具突破了支付宝、微信的人脸识别系统,还骗过了国内某火车站的闸机,成功刷脸进站。一时舆论哗然,对此微信支付表示如果出现人脸盗刷,将进行赔付。
虽然Kneron公司宣称的突破支付系统和车站闸机并没有视频佐证,仅有文字报道。后续深圳电视台使用一个硅胶制成、造价约10万元的高精度3D头模进行了实验测试,结果显示2D门锁、手机2D摄像头被秒开,但3D的刷脸支付系统没被攻破。对此专家学者,和国内很多专业机构对Kneron公司宣称成果都提出了质疑,但民众的忧虑并未因此削减。
刷脸频爆安全风险
21世纪经济报道梳理近期国内关于生物识别风险事件发现,已有不少案例出现。
早在2017年“315”晚会上,央视主持人现场利用了软件后期修改人脸图片的方式进行脸部识别,绕过了网络实名认证系统,也就是说,只需要用修图软件处理一下人们晒在微博、朋友圈的照片,就能通过某些银行支付App的活体检验,某些支付软件存在的技术漏洞可能引发资金安全威胁。
2018年1月,国内某支付平台人脸识别系统被爆出存在“重大低级”漏洞,黑产人员周某、杨某通过在黑市上购买公民个人信息,利用平台漏洞修改账户密码和换绑手机号,盗刷了二十多个账户内共28万余元资金,相关犯罪嫌疑人已被宜宾警方抓获。
今年1月,四川省公安机关网安部门打掉一个使用软件制作动态人脸图片,破解人脸识别系统,盗窃支付宝资金的犯罪团伙,抓获犯罪嫌疑人8名,查获公民个人信息数据3000余万条。
今年8月5日,某科技公司创始人王峻爆料,他好几年前使用3D打印技术制作出来的自己的机器头,这两天拿来测试支付宝的刷脸支付功能,把手机对着人头一放,在某火车票App上,成功购买了一张9.5元从南京到宝华的火车票。
今年10月,浙江一群小学生在课外科学实验中发现,只要用一张打印照片就能轻松“破解”丰巢智能快递柜的“刷脸取件”系统,取出父母的快递。随后有媒体进行测试,发现该漏洞确实存在,甚至用偷拍的照片也能打开丰巢的快递柜。
今年11月,网络上出现的一段视频中,一对双胞胎姐妹应网友的要求测试了某两款国产手机的人脸识别锁屏,以及支付宝App的人脸识别系统。在姐妹俩发型不一样,姐姐的下巴有颗痣的情况下,成功解锁手机屏幕。在对支付宝“刷脸”付款测试时,妹妹用姐姐的支付宝刷脸支付功能成功转账。
艾媒咨询11月21日发布的《2019年中国刷脸支付技术应用社会价值专题研究报告》中数据显示,2018年中国移动支付用户规模较2017年增长17.2%,达到6.59亿人,预计2019年移动支付用户规模将突破7亿人。而作为新的支付方式,刷脸支付目前普及度有限。2018年中国刷脸支付用户达0.61亿人,2019年刷脸支付用户规模有望增长94.0%至1.18亿人。预计高速增长将持续保持,预计2022年规模突破7.6亿人。
随着刷脸支付的日益普及,数亿人的资金、账户甚至个人隐私等安全风险已经不容忽视。
头部企业倡议风险防范共识
某用户对21世纪经济报道记者指出,有不少银行、P2P金融企业的App已经使用了人脸识别技术,但在金融支付等领域大规模应用的情况下,由于不同公司的技术实力参差不齐,有些公司没有严格按照安全规范采用人脸识别服务,甚至为了提高用户的体验而舍弃安全性的做法时有发生,暴露出巨大的安全风险,存在因人脸识别漏洞导致资金被盗刷的潜在可能。
记者采访中也发现,不同于前两年刷脸支付刚推出时企业对于其便捷性的宣传和鼓励,近期头部机构对于刷脸支付的宣传和推广也明显减少。
今年8月23日,支付宝更是发布了《生物识别用户隐私与安全保护倡议》,呼吁从事该行业的科技企业加入进来,明确提出“企业在采集用户生物信息时应遵循‘最小、够用’的原则,防止被滥用”。
倡议中指出,企业应对采集到的信息进行加密存储来提高安全强度,也应明确和规范用户信息使用的目的及范围,避免信息被过度使用。另外,在具体使用中也应建立保险机制来确保用户资金不受损失。
“科技企业也需要为保护用户隐私与信息安全有所作为”,支付宝IoT事业部总经理钟繇表示,支付宝是最早研发人脸识别技术的公司之一,也是首个把刷脸支付进行商业化的公司,因此积累了一套成熟的技术和制度,现在也希望把这些经验能推广出去,以便从事生物识别的企业都可以规范、正确来运用技术。
而针对人脸识别在支付等领域存在的安全风险,某金融科技公司相关业务人士指出,目前对于如何防范人脸识别风险,行业也有了一定共识,需要从多方面努力。首先,相关监管部门对于人脸识别安全规范标准亟待完善,从监管层面严格制定准入门槛和安全防范标准,对于涉及资金支付、金融等领域的人脸识别软硬件设备制定统一的技术标准,淘汰一批安全性能差的软硬件程序、设备。第二,各企业采用人脸识别技术时,应加强用户指纹、面部识别等生物识别数据的安全保护,防止相关敏感数据的泄露和不规范保存,导致用户隐私、资金安全遭受威胁。最后,用户也应谨慎开通类似“刷脸支付”等相关功能,特别是在使用中小企业开发的人脸识别功能时,应提高警惕和安全防范意识,防止因企业安全防控和开发技术不足引发的隐私泄露和资金盗刷风险。
21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权,任何人不得以任何方式使用。详情或获取授权信息请点击此处。