常在河边走,哪有不湿鞋。
支付宝这个支付老大哥,也在小阴沟里翻了个船。
窃取 2000 万个人信息,“骗过”支付宝人脸验证
根据浙江省衢州市中级人民法院的判决书显示,从 2018 年 7 月份开始,张x的团伙雇佣姚xx,使用其购买的公民个人身份信息注册支付宝账号,并使用软件将公民头像照片制作成公民 3D 头像,从而通过支付宝人脸识别认证。
该团伙通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励,每个新注册支付宝至少可以获取 28 元收益。
从 2018 年 7 月份至今,共使用他人公民个人身份信息注册成功至少 547 个通过人脸识别认证的实名支付宝账户,从中非法获利 15316 元。
支付宝不安全了么?
首先要说的是,支付宝还是目前安全性最高的支付平台之一。
早在 2017 年央视披露人脸支付漏洞的时候,支付宝的人脸识别技术就已经可以结合眼纹等多因子验证,达到 99.99% 的准确率。在实际应用场景中,也采用了活体检测算法进行检测(判断采集到的人脸是活体信息而不是照片伪造、视频伪造或者其他软件模拟生成的)。
但技术总归是不断发展进步的,坏人掌握的技术也是一样。并且,任何一个技术都有被黑被破解的可能,只是成本问题。
在人脸识别的破解这块儿,这两年兴起了两种新技术,即便加了活体检测,也一样可以绕过:
1.3D人脸仿真面具
顾名思义,就是通过 3D 打印技术打印出一张“人脸面具”,从而通过人脸检测识别。这种方式可以通过大部分的人脸识别技术,门槛就在于制作成本较高。
2.人脸模型实时重建
这种方式对于技术能力的要求更高一些。通过仿真的人脸建模,实时进行面部动作调整,从而实现真人动作模拟。
看到这里大家就知道了,平常保护自己的生物信息隐私也是很重要的,随着技术的发展,这些违法的操作成本和难度下降,不法分子们拿走我们的脸就像拿走我们的手机号一样简单。
那么支付宝的人脸识别就不安全了么?
也不尽然呐~
虽然都叫人脸识别,但不同平台、不同操作步骤的识别算法和活体检测算法是不完全一样的。不能因为个例,就认定人脸识别都不可靠、认定支付宝的人脸识别不可靠,能得出的结论只是技术仍有漏洞、同志仍需努力。
也是因为考虑到人脸识别不能 100% 保证安全,支付宝其实也有一些其他的应对措施。
比如只对在当前手机上用密码登录成功过的用户才开放人脸登录(上述犯罪团伙也是同步掌握了相关账户和密码信息才破解成功),换句话说,人脸识别是为风控多加的一把锁,而不是唯一的一把锁。从数据上看,正是因为新增了人脸校验,一些通过撞库的盗刷才得以避免。
生物识别为解决撞库这一安全行业经典难题提供了解决的新思路和新方式,带来的价值是不可忽视的。
另外,如果因为人脸登录出现状况导致账号资金损失,支付宝也会进行全额赔偿。所以,我还是愿意相信支付宝的~
人脸识别的现状
现在的人脸识别从技术方案上分为 2D 和 3D 两种。在 2D 方向上,一般会有活体识别技术(就像银行系统需要眨眼抬头张嘴之类的)、声纹识别技术等配合人脸识别,这就确保了不会被低廉的技术手段来破解,比如下图这个小学生用照片破解丰巢的人脸识别。
关于丰巢这个事儿,要为顺丰说一句,这真不是他们技术的问题。我曾经在一次采访中问过这件事,丰巢的这个设定从产品角度来讲,因为存到丰巢中的快递价值,并不值得添加活体检测,快递柜应用的人脸识别只是为了用户使用更便捷而已,而安全性则是其次的。毕竟研发和应用活体识别价格不菲,这么做也可以理解。
说完正题。3D 方向以苹果的结构光为主流。人脸识别技术发展至今,公开的技术资料当中,3D 人脸识别目前仍然是业界安全系数最高的方案,3D 结构光、TOF 飞行时间、双目立体视觉识别是其中的三类主流方案。
个人认为未来人脸识别会让大部分的数据信息变得更加安全,技术本身的防破解能力更强、应用的实际意义更大。
但技术总归是一把双刃剑,虽然这项技术在日常生活中的某些方面保障了人的安全,但也不可避免的存在着各种各样的问题:个人信息被冒充、隐私信息被窃取等等。国外有媒体报道,人脸识别技术对我们隐私的侵犯或许让人无法想象。
因此,有很多声音呼吁“禁用人脸识别”。
但中国科学院人工智能伦理与安全研究中心负责人曾毅在一次采访中表示,仍有 83% 的中国人支持「合理使用」人脸识别。不过,由于没有具体的例子可表明何谓合理使用、何谓不合理使用,很难确定公众意见,何况这项技术仍处于发展的初期阶段。
人类不断地发明创造新的技术,目标是提高生产力,创造更先进便捷的新社会、新秩序,但在发展的过程中,难免有波动。所以还是应该多注意一下“弱势群体” —— 也就是我们这些被动接受社会发展的普通人。
我们期待社会发展进步,但不希望成为发展过程中的牺牲品。
部分参考资料:1.浙江省衢州市中级人民法院 (2019)浙08刑终333号
2.《2018中国人脸识别行业前景研究报告》
3.知乎话题:支付宝人脸识别安全吗?
