长沙银行系统漏洞曝光,被跳过验证开立4万个II类户


2022-2-16 12:35来源:移动支付网    作者:佘云峰

自2015年底以来,人民银行陆续发文启动个人银行账户管理制度改革,银行账户分类管理实行以来,Ⅱ、Ⅲ类账户的发展和创新应用层出不穷,一方面推动了银行业线上开户的发展,另一方面也滋生了一些安全风险。

今年初,湖南长沙一起涉及“破坏计算机信息系统罪、妨害信用卡管理罪”的刑事案件引起了移动支付网的关注,案件中存在漏洞的长沙银行成为受害者,非法开立的Ⅱ类银行账户(以下简称Ⅱ类户)则是其中关键。

利用漏洞跳过验证,非法销售电子账户获利

案件中,上诉人(原审被告人)司某犯破坏计算机信息系统罪,原审被告人尚某、刘某犯妨害信用卡管理罪。

2019年2月间,被告人尚某等人将内含公民身份证号码、姓名、手机号码等信息内容及串码、一个固定银行卡号、Fiddler应用程序软件提供给被告人司某、刘某,利用Fiddler应用程序软件能够拦截由长沙银行服务器向长沙银行APP发送的数据校验结果、加挂银行卡信息、审核状态信息并加以修改的技术功能,使以相关公民身份提出的开设长沙银行线上Ⅱ类户的申请。

并在缺少“视频审核的业务流水号”、“证件上传成功”、“生成的视频流水号”等验证环节的情况下能够通过电子渠道开设长沙银行Ⅱ类户,所开设的长沙银行Ⅱ类户虽不能正常使用但可用以作为绑定账户开立具有办理限额消费和缴费、限额向非绑定账户转出资金等功能的他行Ⅲ类户。其中被告人刘某以此方法开设了80个长沙银行Ⅱ类户类账户,获取钱款人民币160元。

2019年2月间,司某明知杜某(另案处理)欲以上述方法开设长沙银行Ⅱ类户,仍向其提供Fiddier应用程序软件并远程演示申请开设方法,两人通过销售上述非法申请的长沙银行电子账户共获利15万元左右。

长沙市人民检察院认为:1、上诉人司某与杜某商定,伙同他人,违反国家规定,利用长沙银行系统的漏洞,对计算机信息系统中传输的数据进行删除、修改,短时间内开设异常账户4万多个,非法获利16万余元,犯罪后果特别严重,其行为已构成破坏计算机信息系统罪。2、原审被告人尚某、刘某等人行为目的在于使用虚假的身份证明骗领信用卡,而这一目的又是通过使用抓包工具软件对长沙银行计算机系统进行拦截、数据修改的行为方式来实现,存在手段行为和目的行为的牵连。其非法开设长沙银行Ⅱ类户的数量达到80个,获利160元,其获利数额未达到破坏计算机信息系统罪“后果严重”的定罪标准,但符合妨害信用卡管理罪“数量巨大”的标准,以妨害信用卡管理罪定罪。

长沙银行曾因II类户问题被央行处罚

长沙银行成立于1997年5月,是在原长沙市14家城市信用社基础上组建成立的股份制城市商业银行,2008年正式更名为长沙银行。

上述案件中,长沙银行显然是受害者,但是其系统存在漏洞也是不争的事实。另外据移动支付网了解,不仅因为漏洞问题而造成Ⅱ类户的开立问题,长沙银行还曾因为开户信息验证不到位等问题被处罚。

2020年3月,中国人民银行长沙中心支行公布的行政处罚信息公示表(长银罚字〔2020〕第1号)显示,长沙银行存在为身份不明的开户申请人开立账户并提供账户身份信息验证服务;账户可疑交易监测不到位;线上正常开立的II类户中部分账户留存影像资料不完整三宗违法违规行为。中国人民银行长沙中心支行对其警告,罚款80万元。

朱彬时任长沙银行网络金融事业部总经理,对长沙银行为身份不明的开户申请人开立账户并提供账户身份信息验证服务;账户可疑交易监测不到位的行为负有责任。中国人民银行长沙中心支行对其警告,罚款8万元。

程中时任长沙银行信息技术部总经理,对长沙银行为身份不明的开户申请人开立账户并提供账户身份信息验证服务;账户可疑交易监测不到位负有责任。中国人民银行长沙中心支行对其警告,罚款8万元。

Ⅱ类户安全问题频发,风险和创新需要平衡

2021年12月,“广西崇左幼儿师范高等专科学校1457名学生在不知情的情况下被开立Ⅱ、Ⅲ类电子账户”一事引起了行业的广泛关注。

中国农业银行广西分行在第一时间发布说明称,此事确系中国农业银行辖属江州支行营业室未与客户充分沟通,内部审核把关不严、不规范操作所致。后续调查发现,农业银行崇左江州支行因需完成银行账户开户增量指标任务,在未得到学生和学校同意、无相关开户文件的情况下,违规为“崇左幼专”学生开立了大量Ⅱ、Ⅲ类账户(未激活账户)。

2022年1月20日,中国人民银行南宁中心支行发布的一则行政处罚信息公示显示,中国农业银行崇左分行被罚1142.5万元。另外,该分行内5名相关责任人被罚,最高达11万元。

如果说该事件是银行内部审核把关问题所致,那剩下的则大部分和“长沙银行”一样,和银行系统漏洞脱不了干系。

2019年12月底,金华市婺城区人民法院的一份刑事判决书披露9人因妨害信用卡管理罪获刑。以薛某、黄某夫为首的9人团伙,利用他人身份信息非法开设银行Ⅱ、Ⅲ类户出售谋取暴利。判决文书显示,一个月的时间,薛某聚集7人的工作室开设银行账户,黄某夫负责远程教授非法开卡技术,工作室其它人具体实施“代跳”工作,即利用华润银行、温州民商银行、金华银行、浦发银行、中国银行、招商银行、建设银行等银行App漏洞和使用抓包软件,修改数据,利用薛某购买的公民信息,开设10000余个银行账户。

2019年10月,只有初中文化的00后田某被福建省厦门市思明区人民法院以非法获取计算机信息系统数据罪判处有期徒刑三年,并处罚金人民币一万元,其采用的便是同样的套路。田某在2019年1月5日至1月15日期间,通过软件抓包、PS身份证等非法手段,在厦门银行手机银行App内使用虚假身份信息注册银行Ⅱ、Ⅲ类户,非法销售获利。

实际上早在2019年年初,中国人民银行、支付结算司就先后紧急发布了对于Ⅱ、Ⅲ类户风险的通知以及加强个人Ⅱ、Ⅲ类户风险防范的通知。彼时,全国范围内连续发生个人Ⅱ、Ⅲ类户异常开户风险事件,突出表现为不法分子利用手机银行或直销银行系统漏洞,非法开立虚假Ⅱ类户,并以此作为鉴权源,跨行开立大量虚假Ⅲ类户,造成账户风险交叉传染,蔓延扩大。

此类风险也反映出了银行存在业务系统安全隐患、未严格落实制度要求、账户验证应用不规范、风险监测机制缺失等问题。通知中也强调了“5要素”的合规要求以及相关开户鉴权通道、接口应用的自检升级等等,要求各银行尽快上线和有效应用网络反欺诈的相关措施,完善风险监测系统。

银行账户分类管理实行几年以来,Ⅱ、Ⅲ类账户的安全事件仍然在频繁发生,这不得不让人思考创新所带来的风险和发展之间的平衡,以及政策和合规的实际落地。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2022 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号
深圳市宇通互联信息技术有限公司    地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606