人人書

雜誌

保存到桌面 | 簡體人人書 | 手機版
傳記回憶文學理論偵探推理驚悚懸疑詩歌戲曲雜文隨筆小故事書評雜誌
人人書 > 雜誌 > 百度金融被指存安全漏洞 風控亟待完善

百度金融被指存安全漏洞 風控亟待完善

時間:2024-10-28 04:44:36

近日,以金融科技公司自居的百度金融發生了用戶的賬号被盜用,并成功在百度有錢花借款的事例,通過《投資者報》記者調查,出現類似情況的人并不在少數

在本月初的百度AI開發者大會上,百度高級副總裁、度小滿CEO朱光對外宣布百度金融新品牌“度小滿”正式啟用,百度金融迎來新的發展階段,但賬号盜用借款事件暴露出的風控問題卻引發用戶擔憂。對于上述情況,同盾科技相關人員稱,若借貸者産生逾期行為,手機号碼關聯者也會存在征信污點,并在央行征信系統中有所體現。對于上述提到的現象。對此,百度金融在回複《投資者報》記者采訪時僅表示,用戶在申請貸款時,有多個環節對用戶進行身份驗證,以确保是本人操作。

漏洞之惑

王達(化名)在今年年初發現了一件蹊跷的事,從未使用過百度錢包的他,收到了“百度有錢花”的短信提醒。短信中寫着“【百度】<百度有錢花>親愛的用戶:您已開通自動還款功能,每月15日是您的還款日,本期應還款金額1210.37元。為了避免影響您的信用記錄,請于還款日早8點前确保綁定的銀行卡餘額充足,如已還款,請忽略。”

王達對這則短信内容感到震驚,随後立即下載了百度錢包進行查驗,王達登錄賬戶後發現,“用了七八年的百度賬号和手機号,都被一個不認識的人實名認證了,并且綁定了她的銀行卡,用于還英孚英語的課程貸款。”在百度錢包“實名認證”頁面顯示的姓名為“趙曉月”,身份證号碼以3開頭,以X結尾,并綁定了招商銀行的儲蓄卡,卡号後四位為“0463”。

從還款頁面可以看到,這位名為“趙曉月”的人自2017年7月期開始使用“百度有錢花”自動還款業務已經成功還款6期,每期還款1210.37元。至王達收到還款短信時,“趙曉月”的待還金額還有14524.56元。

在這個百度賬号下(百度錢包可以直接用百度賬号登錄),實名認證和綁定的銀行卡信息都是趙曉月的,但該賬号綁定的手機号碼、郵箱卻是王達的。

王達曾經緻電“百度有錢花”客服,客服稱,唯一的解決辦法是王達棄用這個賬号,因為百度是以實名信息為最高等級的(來認證)。“我很多次提醒百度的客服,跟他們說這是一個很大的安全隐患,他們都不以為意。”王達說。

據移動通信客服解釋,同一号碼絕不會有兩個人同時使用。有一種情況是手機号碼若長期處于不使用狀态并賬戶内餘額已扣除完畢的情況下,3個月後該号碼會被回收。但被回收後,不會立即投入使用,經過半年到一年的冷凍期後,才會将該号碼重新投入市場。

事實上,經過《投資者報》記者調查,百度賬号被盜用,他人進行貸款的情況并不是個例。如有用戶收到百度有錢花類似短信,但并未使用過“百度有錢花”軟件,此外,還有用戶收到百度有錢花開通賬号的短信,但她稱自己從未注冊過“百度有錢花”借貸軟件。

更蹊跷的是,有用戶近期在百度有錢花貼吧反映,一年前,其在百度有錢花借款800元,借款逾期後,他故意一直沒有接聽百度有錢花的催收電話。近日,他再登錄百度有錢花平台,原來使用的賬号被注銷,有錢花業務的界面也看不到了。

風控待加強

度小滿金融,原為百度金融。2018年4月,百度宣布旗下金融服務事業群組完成拆分,并簽署融資協議,拆分後,百度金融啟用全新品牌“度小滿金融”,實現獨立運營。百度給予“度小滿金融”的基本定位就是“利用AI技術在全金融領域布局”。百度金融業務依托百度大數據、技術資源,以“金融科技”進行聯動宣傳。

在度小滿金融官網,度小滿金融将自身的定位表述為“金融科技公司”,具體描述為“度小滿将充分發揮百度的AI優勢和技術實力,用科技為更多人提供值得信賴的金融服務。”

但技術隻是一種保障手段,并非絕對安全。快手CEO和創始人宿華曾說:“技術不是萬能的,人工幹預是有必要的。”這位有着Google和百度從業經驗的技術人物在曆經實踐後公開發出這樣的感慨。技術不是萬能的,甚至是有漏洞的。

如今中國互聯網金融企業中,一般在用戶貸前階段做“三要素”合驗,即姓名、手機号碼、身份證号碼三方對照,以确保借貸用戶是本人操作。“三要素”查驗的過程很簡單,将姓名和身份證号碼輸入,從運營商數據庫中調取綁定的手機号碼,匹配一緻即為本人操作。

“通常手機号碼匹配信息的業務并不是由人工來完成,而是由人工智能(AI)技術進行收集和整理。但AI技術并不能夠識别同一手機号碼所綁定額信息是否為不同人的信息,它将讀取的是這一号碼整個曆史全部信息。雖然移動、聯通、電信三大運營商清除了在其平台的數據,但三大運營商并不能夠擦除該手機号碼在其他平台的綁定信息。這就造成了前後所有使用過該手機号碼的用戶信息都将被讀取,并統一認作現持有人的個人信息。”業内人士稱。

度小滿金融的相關負責人對上述現象解釋道,“用戶在申請借款時,實名認證環節需要本人提交銀行卡信息并輸入密碼;在貸款額度支付審核環節,申請人需要通過人臉識别的驗證,确保貸款是本人發起的申請。在教育分期的展業環節,百度有錢花将貸款支付給培訓機構時需要在此輸入密碼确認。貸款申請中用戶還會多次收到短信提醒。”

記者采訪了同盾科技的相關人員,該人士稱,這種賬号錯配進行借貸的事件對于用戶還是有一定影響的。若借貸用戶發生了逾期,雖然在人行征信不會有所體現,但在一些互聯網平台的征信是有一些體現的。

2018年1月4日晚,央行官網宣布,中國人民銀行正式受理了百行征信有限公司(籌)的個人征信業務申請,并将相關情況予以公示。此舉标志着開展征信業務的“信聯”誕生,“信聯”定位于建立國家基礎性信用信息數據庫,将于央行征信中心形成有效補充。“信聯”的一大重要工作内容即是通過将互聯網借貸逾期名單補充到現有央行征信系統内,這就意味着,若個人在互聯網金融借貸平台上進行借貸發生逾期或故意不還的行為,則将會在央行征信系統中留下記錄。■
   

熱門書籍

熱門文章