2018-05-22

电子身份验证有漏洞 隐私信息被明码标价贩卖

编辑:杨静涛
导 语

“850块钱,就能买到开房记录、列车记录、航班记录等11项个人隐私数据,在身份黑市上,隐私的买卖是被明码标价的,能够用于制作假通缉令等的身份证户籍信息,一条只需要10—40元。”

u=1955701157,3771802598&fm=173&app=25&f=JPEG.jpg

  浙江在线5月22日讯(浙江在线编辑 杨静涛)中国银联日前利用大数据分析向社会发布安全提醒,电信诈骗案、盗窃银行卡、非法套现、冒用他人银行卡、网络消费诈骗形势依然严峻,其中超过90%是由于个人信息泄露引致,已成为犯罪主要源头。除个人信息泄漏外,通过社交网络平台、欺诈APP软件、恶意二维码等进行诈骗的案件也频发,移动互联网领域支付犯罪大幅增加。

  在网络世界中,别人可以通过证明“他是我”,借由“我”的身份“招摇撞骗”,掳走“我”的财产。在安全专家的语系里,这样的产业链条被称为黑产。亚信安全副总裁陆光明表示,“从产业规模看,2016年底我国网络电子认证市场还不到200亿元,但是黑产的规模已经高达千亿元左右。”

  网络可信身份认证该出手了。“《中华人民共和国居民身份证法》确定居民身份证是公民身份管理的可信依据,网络身份验证也需要可信度、权威级相当的可信平台。”中国工程院院士沈昌祥在日前召开的C3安全峰会上表示,网络身份可信验证工作刻不容缓。

  身份信息在黑市上被明码标价

timg (3).jpg

  “850块钱,就能买到开房记录、列车记录、航班记录等11项个人隐私数据,在身份黑市上,隐私的买卖是被明码标价的,能够用于制作假通缉令等的身份证户籍信息,一条只需要10—40元。”中国科学院信息工程研究所副所长荆继武展示了一张明晰的价码账单,仿造一个企业身份信息的“五证”仅需要千元左右。无论对于自然人还是法人来说,我国网络信息保护的形势都非常严峻。

  “易获得”是个人电子信息难以规避的“软肋”。安全领域内,八成以上的信息泄露由内部人员所为。“很少有黑客愿意花那么大的代价从外攻破系统获取信息,从内攻破是更便利、更容易的。”陆光明说。

  “既然防不胜防,能不能让这些偷窃泄露来的信息分文不值呢?现实生活中身份证的使用对此提供了很好的借鉴。”陆光明说。

  如何让网络身份认证与现实身份认证一样“强有力”“无漏洞”,成为一个系统工程,关系到新技术应用、新体系构建、以及与已有法律体系的共享共建。国际上,欧盟2006年出台了开展网络可信身份体系建设的法规。美国2011年公布网络空间可信身份国家战略,提出10年时间建设美国网络身份体系。

  网络身份验证难有“防骗”功效

  当下使用的网络身份验证难有“防骗”功效,沈昌祥将问题归纳为3类:方法不安全、难保真实性;欠公平公正、难防篡改;缺乏法律效力、难以执法。沈昌祥解释:“例如大量汇集在微信、支付宝上的个人信息,虽然是实名认证,但隶属于第三方企业,难以保障它们的不可更改性、不可复制性。”

  陆光明对此持相同观点,他表示,在国外以企业公信力作为社会公信力的商业行为居多,例如谷歌的互联网账号可用作其他跨行业的社会认证。但是,Facebook的身份数据泄露,严重到甚至可能会对美国高层政策施以影响,这一事件令人对这种模式的安全性产生顾虑。

  被泄露之外,被利用更使身份信息安全问题“雪上加霜”。陆光明说,韩国2011年就爆发过一次非常严重的身份数据泄露事件,当时有3500万用户数据泄露,占当时韩国网民的95%左右。此事使得韩国政府开始限制网络身份收集,也宣告了其网络实名制的结束。

  “黑户”的存在,不仅侵害了可能并不知情的个人的利益,也使得真正需要准确掌握身份信息数据的电商深感困扰。“一家电商的责任人表示,他每天有几十万新注册用户,其中有很多黑产用户,电商企业需要花费很多精力、成本去校验新用户,将‘黑户’挑拣出来,确保系统安全。”陆光明说。

  搭建有公信力的第三方验证平台

  “一些互联网公司开发的APP,注册时需要身份证、姓名、电话等信息。我相信很多人都不愿意透露、被捆绑。”陆光明说,用户很难确定企业是否会将这些信息挪作他用。

  通过搭建第三方平台的方法,或能解决这个“隐患”。

  陆光明表示,一个保有用户信息的第三方认证平台,可以帮助互联网企业认证用户、也确保用户的信息只用于约定的用途。“对于新型互联网企业来说,平台把认证结果反馈给企业,企业获得的是平台处理过的可信的用户认证。而用户(消费者)需要面对的则是一个有公信力的平台,而不是多个信息不对等的企业。”

  先前已经聚集了大量客户信息的淘宝、微信等已经开始担负起这样的角色,目前,已经有“授权认证”等模式,让用户无需再次注册新应用的账号。荆继武表示,背后基于多模式多安全等级的电子认证技术,也保证了“不同等级的数据库使用者,能够接触到的信息是不同的。”

  目前国家层面正在构建具有法律效力的权威性公民网络电子身份标识基础设施,并加快与电子身份应用相关的技术和标准的研制推广工作,未来将会加速构建和网络电子身份基础设施配套的基础服务能力,基于网络电子身份标识基础设施将会出现更多的行业化、跨领域的高可信、互信任的认证平台系统。

  据媒体消息,由公安部第一研究所可信身份认证平台(CTID)认证的“居民身份证网上功能凭证”于日前亮相支付宝,在衢州、杭州和福州启动试点应用。用户只需按照提示完成“刷脸”等相关身份认证,就拥有了属于自己的“网证”。使用时打开“网证”二维码扫一扫,就能完成公积金社保查询、酒店入住登记和购买车票这些过去需要身份证才能办理的业务。

  【延伸阅读】电子身份证来了 可以购买车票办理酒店入驻

u=1698119591,2427255508&fm=11&gp=0.jpg

  4月17日,在浙江杭州一酒店,旅客体验使用“电子身份证”办理酒店入住。

  4月17日,由公安部第一研究所可信身份认证平台(CTID)认证的“居民身份证网上功能凭证”(以下简称“网证”)首次亮相支付宝,并正式在衢州、杭州、福州三个城市的多个场景同时试点。

  用户只需按照提示完成“刷脸”等相关身份认证,就拥有了属于自己的“网证”。使用时打开“网证”二维码扫一扫,就能完成公积金社保查询、酒店入住登记和购买车票这些过去需要身份证才能办理的业务。

  蚂蚁金服副总裁邹亮表示,证件电子化已经是一种行业趋势,此前,已经有不少城市和支付宝合作上线了电子社保卡、电子居住证、电子驾驶证、电子行驶证、电子营业执照等电子证件。“这次试点,表明网证具备可复制性,如果用户反馈良好,我们愿和更多政务机构、合作伙伴一起,服务更多城市老百姓。

  (综合科技日报、环球网、北京日报消息)