北京青年報：先補銀行運營商漏洞 再談用戶安全意識

最近上海警方破獲一起大案，從犯罪分子手中截獲了3.2億條已被破解的用戶信息。如果按照我國平均每人擁有一個手機號碼來算，3.2億條信息意味著每四個人當中就有一個人的信息已經泄露。后果是什麼呢？以其中幾位受害者的遭遇為例，就是信用卡被盜刷，“被申請”銀行貸款，幾十萬元的銀行賬戶余額一夜清零，還背了債。

值得注意的是，這幾位受害者平時特別注意用卡安全，卡不離身，密碼未泄露，轉賬用U盾，上網用專業版網銀。這幾年，用戶金融賬戶被盜的案件時有發生，媒體和相關人士反復提醒用戶提高警惕，然而事實証明，用戶再警惕，有時也敵不過賊的本事。

拿上述案子來說，犯罪分子先用軟件“撞庫”盜取用戶網絡身份，然后利用運營商的短信過濾、保管功能或換卡業務的漏洞來獲取驗証碼，利用銀行發放貸款程序的漏洞申請貸款……總之，“撞庫”之后的整個犯罪過程都是借著運營商和銀行業務的漏洞來實現的。假如這些漏洞不補，用戶的安全意識再強又有什麼用？

移動支付、網上金融等業態，在運營商和銀行業務的支持下，因其“便捷”而迅猛發展，但用戶的“信任”將決定新業態能否跨越瓶頸，邁向下一個階段——這個瓶頸，與“安全”有關。現在，賬戶被盜案件背后的安全問題，不只是用戶的信息安全問題，也包括運營商和銀行在創新開發業務時造成的各種疏漏與失誤。在一次次的案情分析中，我們能看到原因，但還沒有對症下藥去修正運營商和銀行的行為。

運營商推出短信過濾、保管功能等增值服務，在線換卡默認登錄人是持卡人本人，銀行在發放貸款時簡化程序，以及前段時間引起熱議的默認免密支付等等，確實都讓服務更多樣、更便捷，但這些多樣和便捷往往是用安全的代價來換取的。這令人聯想起滴滴順風車在下線整改之前飽受爭議的某些功能設計——把出行與社交相結合的創意並不是沒有價值，但如果以目前的管理手段無法確保安全，就還是暫時擱置的好。

銀行和運營商開發增值服務、簡化服務流程也是一樣，如果風險控制跟不上，這服務該不該開、程序該不該簡化就應該打個問號。當前在很多情況下，承擔其風險代價的往往不是運營商或銀行，而是用戶——賬戶被盜了，需要用戶自己奔走索賠、取証，忙得焦頭爛額，銀行和運營商當然缺乏自身整改的積極性。如果從法規到慣常處理辦法都對用戶更友好，發生類似問題由銀行或運營商負全責，最好還附加賠償，銀行和運營商在改進服務的工作上是否就會更慎重一些呢？至少，如果用戶相信自己的損失肯定能找回，面對移動支付、網上金融等業態也能更有安全感。

如果不能用強制性規則和處理辦法去引導運營商和銀行的做法，再怎麼呼吁用戶提高安全意識都是空話，就像放著滿地明的暗的大坑不填，隻管叫行人腳下小心，出事了，路政部門還是得負責。誠然，建議用戶提高警惕是有意義的，但這不等於可以把賬戶安全問題的責任轉嫁給用戶，只是為了把單個用戶可能發生的損失降低一些。關鍵漏洞在銀行和運營商那兒，還是先補上了，再來談其他吧。