[热门话题] “00后”黑客攻破厦门银行App人脸识别系统 怎么做到的?

0
回复
5416
查看
[复制链接]
  • TA的每日心情
    开心
    2020-6-4 01:05
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    11

    主题

    11

    帖子

    50

    积分

    管理员

    Rank: 9Rank: 9Rank: 9

    积分
    50
    发表于 2020-4-9 11:44:29 | 显示全部楼层 |阅读模式
    2000年出生、职业学院休学的河南男孩攻破了厦门银行App的人脸识别系统,进而使用虚假身份信息多个账户并倒卖牟利。他是怎么做到的?日前,裁判文书网公布了相关判决和裁定书,揭开谜底。


    据判决书,被告人田世纪2000年1月出生,初中文化,无业,户籍地河南夏邑县。2019年1月5日至15日,田世纪在用银行App注册账户的过程中,先输入本人身份信息,待进行人脸识别步骤时,利用软件抓包技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。随后在输入开卡密码步骤时,田世纪将App返回到第一步,即上传身份证照片,输入伪造的身份信息,并再次进入到人脸识别步骤。此时,其上传此前拦截下来的包含其本人的身份信息数据包,使系统误以为要比对其本人的身份信息,遂使用其本人人脸通过银行系统人脸识别比对,成功利用虚假身份信息注册银行账户。通过上述方法,田世纪成功注册厦门银行Ⅱ类账户76个,并通过网络售卖赚取22010元。田世纪的行为导致厦门银行从2019年1月18日至今一直关闭手机银行App中Ⅱ类、Ⅲ类账户开户链接功能。



    田世纪的辩护律师岳云峰告诉财新记者,田世纪为河南商丘一家职业技术学院的学生,案发时办理了休学,平时喜欢玩电脑。2019年1月初,田世纪在QQ群里看到有利用漏洞办理银行Ⅱ、Ⅲ类账户的情况,下载了多家商业银行App尝试,并通过其本人真实信息办理了两三张厦门银行Ⅱ、Ⅲ类账户熟悉流程,后通过网络学习抓包原理,偶然发现厦门银行App存在漏洞,通过替换信息的方式可以开设账户。一位银行网络安全部门人士向财新记者分析,出现上述案件的原因在于未对人脸身份和提交的身份信息做校验。也有曾在银行技术部门工作的人士表示,在设计手机银行App时,出于成本考虑,人脸识别往往被放在验证的最后一步。中小银行的App大多由外包供应商开发,若供应商积累的案例不够多,可能会出现方案不完善、存在漏洞的情况。

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    Q Q 扫描二维码

    进入社区QQ群

    随时了解更新最新干货

    Q群;908322022

    (大道废 有仁义 智慧出 有大伪)

    加入QQ群
    我们都来源于网络,相识相知在“ 24Byte ”社区
    我们热爱自由,热爱分享,更加热爱和平
    和谐交流,社区不会参与任何攻击行为

    Powered by Discuz! X3.4© 2001-2013 Comsenz Inc.( 黔ICP备20002314号-1 )