撰文 | 魏英傑
昨天傍晚發生了一件極其詭異恐怖的事情,有必要寫出來請教一下專業人士。
事情很簡單,當我打開招行企業銀行app,刷臉登錄自己的公司賬戶查看流水的時候,跳出來的賬戶名稱一下子讓我懵了——怎麼會是東莞的一家公司?

我仔細一看,確實沒錯,這非但不是我管理的企業賬戶,而且企業名稱、管理人完全不一樣。我還以為是什麼廣告頁面,點擊了本來是隱藏的餘額設置,也能顯示詳細餘額(只有128.74 元)。
這下我忽然意識到,可能是銀行系統出了 bug。當我想退出時,忽然覺得,事情似乎沒那麼簡單。於是點擊了錄屏,對相關操作進行了錄製,然後才退出。重新登錄後,顯示一切正常,又回到了我自己公司的頁面。
平靜下來細想,這事情真的不簡單啊。我刷臉登錄銀行賬戶,卻刷進了別人的銀行賬戶,那麼,是不是別人也可能刷臉誤登錄我的賬戶?我不敢點轉賬功能,但萬一對方比我更有好奇心,點了轉賬功能,是不是可以進行轉賬(照理應該有密碼或簡訊驗證)。
這是不是說明銀行的刷臉識別系統有漏洞?那如果這個漏洞被非法分子掌握怎麼辦?我的銀行賬戶還安全嗎?
我後來查詢了一下,確實有發生過刷臉被詐騙分子轉走賬戶里的錢的案例。不過這大多是受騙人在詐騙分子的誤導下進行視頻通話,從而人臉信息被盜用(還要加上其他攔截簡訊通知的專業操作),這才可能被盜刷。但是,光刷臉登錄這個漏洞,也足夠可怕的了。
從類似案例,我發現銀行的人臉技術往往是外包給第三方的,一旦發生盜刷問題,銀行和第三方又經常會互相推卸責任。也就是說,萬一發生這種事情,銀行並不是會直接把責任歸於自身。那麼,如果銀行說刷臉登錄別人公司是我自己操作不當,甚至否認有這事情發生,那我怎麼說清楚?

我把這事情發到朋友圈,有些人調侃我有個親兄弟在異鄉,但也有人很敏銳地發現更多問題所在。比如,我說要關掉所有銀行的刷臉登錄功能,有朋友就說,如果對方也能刷臉,同樣可以反過來打開刷臉功能。如果是這樣,豈不是自己都沒有辦法不刷臉了?或者說,賬戶就可能被人一直控制?
最後還要說一下,我登錄的招行企業銀行app可真是貨真價實的招行官方app,各家銀行都有自己的企業銀行app,可想而知,這個漏洞不是影響一個地方的企業,而是整個招行系統的企業。
昨晚,我已經將問題上報給我所在的開戶行,他們也在向總行詢問到底是怎麼回事。不知道有沒有人碰到過跟我類似的情形,或者知道這到底是怎麼回事的?
*封面圖片由微信系統ai生成