近日，一名网络安全工程师在手机失窃后，因没有第一时间挂失手机卡而被手法“专业”的犯罪团伙盗刷资金的事件引起了圈内的热议。这位工程师详细描述了自己与不法分子周旋的全过程，以切身经历找出了我们日常生活中信息安全的薄弱环节，也对相关机构加强核验工作提出了宝贵意见。

在这起事件中，犯罪分子使用一张手机卡，突破了多个App层层安全措施，最终侵害了用户财产安全。而这一过程中又涉及到短信验证码等信息识别功能的安全性，App的安全隐患，个人信息安全保护等一系列问题。通过对该事件的梳理，我们一起来对这些问题做进一步的探索。

一、信息识别功能的安全性

手机号或身份证号这种典型的“实名认证”模式是我们在日常生活中最常用的。相较于“实人认证”，“实名认证”安全性存在不足。在这起事件中，受害人最初猜测犯罪分子绕过了支付App的人脸识别系统进行盗刷，但后经受害者本人及支付客户端相关企业予以澄清，人脸识别系统并未被直接突破。

这两年随着技术进步，人脸识别方式得以在手机终端上广泛使用。有专家指出，就其安全性来看，目前用户量高的主流支付类App采用的人脸识别技术都比较成熟，安全系数高，要破解并非易事。如果使用更加复杂的方法去验证是否为本人操作，验证步骤越复杂，收集的用户信息就会越多，用户的使用体验也会随之变差。当然，比“实名认证”更加复杂和难以被破解的，其实还有很多种措施，使用最多的就有数字证书、人脸识别等方式。数字证书大家接触最多的就是U盾。在银行转账等敏感操作时经常使用。加载在硬件key的数字证书安全系数很高，难以被破解和复制。

二、APP的安全隐患

事件中，犯罪分子还利用了一个个被App认为是“正常”的操作，利用手机号逐步套取了用户的身份证号、银行卡号等信息，最终完成了整个“拼图”，从而实施了进一步骗取贷款等操作。

有黑客说过，“世界上不存在没有漏洞的系统”。网络安全运营商要做的是尽可能在一些细节方面持续加强，让作恶的成本不断增加，不给其可乘之机。比如“解除挂失”等关键流程的完善，对于身份证号、银行卡号等的展示可以采取一些打码措施等。还可以通过一些高危风险“熔断”机制，“网络保险”等风险转嫁措施全方位保障安全。

不断消除App的安全隐患是App运营者理应履行的职责与义务，《网络安全法》第十条明确规定：建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

对于不能有效履行网络安全义务的，在网信部门统筹协调下，电信主管部门、公安部门等部门开展监督管理工作，其中处罚方式包括责令整改、警告、行政罚款等，情节严重的可责令停业整顿、吊销执照。

其实只要构建较完备的安全技术和管理能力，除非是底层技术缺陷等特殊原因，大的安全漏洞一般不太会出现，或者不太会造成大范围影响，有足够完备的应急和善后措施也是一种重要的履责体现。

三、个人信息安全保护

网络运营者收集个人信息，其一方面可以为用户提供服务，另一方面也成为追踪、画像、推送的途径，其实还有第三种使用方式，就是安全风控。人脸识别、“设备唯一识别符”都是用于安全风控的一种方式。

绝大部分App运营者都是利用“设备唯一识别符”来判断是否为常用设备，从而触发进一步验证身份的机制。除此以外，应用程序列表、粗略地理位置等个人信息都可能用于安全风控。

目前，《个人信息保护法（草案）》已亮相，用户的选择权也越来越多。在正在制定的国家标准《App收集个人信息基本规范》中，提出了设备唯一标识符可成为最小必要信息，但只能用于安全运营目的。但事实上，对目的的限制和要求还需企业能够真正自律才行，否则以安全目的收集个人信息挪作他用又可能侵犯个人隐私。当然，针对这个问题，研究机构和产业界也在不断探索更进一步的解决方案，以兼顾账户安全和隐私保护。

回到事件本身，如果受害者挂失成功，运营商没再听信其编造的谎言，后面的事情也就不会发生。所以，当我们的手机被盗后，第一时间一定要及时去挂失。网络安全始终是一个黑白不断对抗、攻防不断演化的过程，面对纷繁复杂的网络空间，作为普通网民，学习必要的知识技能、提升安全意识，以不变应万变，我们才能有效保护自己的切身利益。

【版权提示】葫芦娃集团尊重并保护版权。部分图片/素材来源于网络，如有侵权请及时告知我们处理。