“被消费”“被贷款”……一部手机失窃遭“盗刷”暴露哪些安全漏洞( 二 ) _信息安全

——校验手段普遍不足，风控水平参差不齐。
目前，虽然监管部门对于支付机构开户身份的安全验证有相关规定，但部分机构执行打了折扣。
采访人员调查发现，不少金融平台和支付机构开立账户或绑定银行卡的流程较为简单，一些机构在授信流程中，只增加了银行短信校验或者公安网校验，就顺利放款。在此案中，不法分子通过机主的银行卡号、身份证号、姓名、银行预留手机号等信息，加上短信验证，就在美团平台上办理了贷款业务，并很快将贷款通过新开立的支付账户消费掉了。
业内专家表示，为吸引用户，部分金融平台不会在绑卡开户时增加烦琐的校验方式，而是简化开户流程。更有一些小公司，为节省成本而省略步骤，校验的完成度和可靠性难以保障。
与此同时，一些平台和机构风控水平不过硬。从网民“信息安全老骆驼”家人的遭遇来看，同样在凌晨三四点，有的支付系统风控成功识别了异常交易并进行阻断，有的则通过了不法分子的贷款申请，有的支持了不法分子数笔绑卡消费。
——个人敏感信息保护不力。
该案中，不法分子通过短信验证的方式便登录了某政务平台App，获取机主的重要信息如探囊取物一般。
业内专家表示，身份证信息和银行卡信息属于个人敏感信息，一旦遭泄露后果严重。身份验证要强化甄别“确为本人意愿”，如借助人脸识别等方式提高验证门槛。
此外，一些通信行业人士表示，一些无良手机App过度收集个人信息，也为个人信息安全埋下隐患，一旦App被侵入就会造成严重信息泄露。在公安部组织开展的“净网2019”专项行动中，被查处的违法违规采集个人信息的App就多达683款，其中不乏知名企业。
机构与平台应提高安全验证手段，手机丢失第一时间挂失SIM卡
事件曝光后，大部分涉事的平台和支付机构消除了受害人的贷款记录，并赔付了损失。采访人员了解到，相关支付机构已着手加强手机丢失防控策略，提升风控水平，适时升级身份验证手段。
针对电信企业存在的漏洞，工业和信息化部日前约谈了此次涉事电信企业相关负责人，并对三家基础电信企业提出要求，对于服务密码重置、解挂等涉及用户身份的敏感环节，在方便用户办理业务的同时要强化安全防护，加强客服人员风险防范意识培训，警惕业务异常办理行为。
中国电信相关人员表示，为进一步防范此类风险，将强化和规范挂失、解挂、呼转等业务的鉴权方式和流程，增加技术核验手段，提高服务人员风险防范意识，对频繁办理业务的行为加强监控，对异常行为进行限制和升级操作授权。
“无论是支付业务还是其他金融业务，都应该把安全性放在第一位，其次才是便捷性。”国家金融与发展实验室特聘研究员董希淼表示，非银支付机构及互联网金融公司担负着数以亿计用户的财产安全，有责任不断加强风险防控。针对手机失窃这种情况，金融机构应该考虑得更全面些，不光要“实名认证”更要“实人认证” 。
此外，付亮说，相关单位和企业应及时对用户数据进行脱敏处理，按照最小必要原则收集、存储、使用，并注意分级分类保存。
普通民众如果手机被盗或遗失，应如何保护个人信息和财产安全？专家提示：
——第一时间致电手机运营商挂失SIM卡，以免不法分子利用“时间差”窃取个人信息。
——尽快致电银行冻结手机网银，只要办过银行卡的银行都要覆盖到，不要给不法分子留下可乘之机。
——对支付宝、微信等具有金融功能的应用及时进行冻结，且密切关注账户服务和资金变动。