·· 1 ··
明知田某出售的账户为虚假身份注册的账户,张某仍多次购买,每套入手价格在100元至200元不等,然后再加价出售。
·· 2 ··
起初,张某只是从田某处购买账户。为了赚取更多利润,张某向他人学习上述技术,并尝试在多家银行注册Ⅱ、Ⅲ类账户。其中,张某在厦门银行App、建设银行App上拦截身份认证十余次,在浦发银行极速开户网页页面拦截身份认证信息四、五次。
此外,张某还雇佣他人利用上述技术,在建设银行系统内成功注册12个Ⅱ、Ⅲ类账户。
因非法获取计算机信息系统罪,田某被判处有期徒刑三年,并处罚金一万元。张某具有坦白从轻处罚情节,被判处有期徒七个月,并处罚金五千元。
裁判文书还指出,从2019年1月,厦门银行关闭手机银行中Ⅱ、Ⅲ类账户开户链接功能。隐私护卫队致电厦门银行客服,客服表示,目前仍不支持上述功能。
对于厦门银行App被入侵一事,瑞星副总裁唐威称,这暴露App未验证人脸数据的来源是否可靠,使得犯罪分子可通过注入虚假数据的方式,伪造App需要验证的人脸信息。
芯盾科技技术专家尹晓东也认为,通信数据未加密,使得手机银行App和服务器端的通信难以保证完整性和可靠性。
对此,唐威建议,数据通讯应加密,并且,App端应对服务端数据进行严格验证;更可靠的方法是,人脸等生物信息应放在服务器上,认证过程也应放在服务端进行。
此外,尹晓东指出,入侵事件暴露出在厦门银行App上开通Ⅱ、Ⅲ类账户时,并未与Ⅰ类账户进行鉴权。
所谓鉴权,他解释说,用户开通II类账户时必须对相关信息进行鉴权,即验证对应I类账户的五要素,包括开户人姓名、身份证号、手机号、绑定账户/卡号、绑定账户是否为I类账户或信用卡。
文/南都个人信息保护研究中心研究员 尤一炜
