20日,A股第三方支付第一股拉卡拉午后跌停跳水。原因是该公司旗下考拉征信涉嫌侵犯公民个人信息犯罪,涉嫌非法缓存公民个人信息(包括姓名、身份证号、身份证照片等)近1亿条,非法提供查询返照9800余万次,获利3800余万元。警方已抓获考拉征信董事长等20余人,牵出一条个人信息非法交易的黑色产业链。
经查,考拉征信从上游公司获取接口后又违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民身份信息包括身份证照片的大量泄露。
涉案公司还包括广州诺涵公司,该公司披着科技公司的外衣,自己开发有“乐花管家”等多个小贷平台,在自身购买公民个人信息用于推销贷款、软暴力催收的同时,也和其他公司相互交换公民个人信息,还开发有爬虫云等软件,通过技术手段爬取其他小贷公司的公民个人信息,用于公司放贷和非法出售牟利。在他们贩卖的公民个人信息里,甚至还出现了公民身份证照片信息,警方测试后发现,返回的是带网纹的二代身份证彩色照片。
湖南九象公司,其黑爬虫网站的“身份核验返照”业务端口来自北京黑格科技有限公司,而黑格公司正是从考拉征信等四家公司购买的查询接口。
值得一提的是,考拉征信是曾获央行个人征信试点的征信巨头,也是国内首家成立大数据征信模型专业实验室的征信机构。公开资料显示,考拉征信是一家第三方的信用评估及征信管理服务商,由拉卡拉和蓝色光标、拓尔思、梅泰诺、旋极等四家上市公司共同出资设立。
2018年1月,中国互联网金融协会和考拉征信等八家征信机构,共同发起成立百行征信有限公司。考拉征信作为发起人之一,积极支持百行征信的发展,全力促进征信行业健康有序运行。
图片来源:中国基金报
有业内人士称,连考拉征信这种曾经获得中国人民银行个人征信试点的机构都能被查处,说明监管正重拳出击个人信息交易黑色产业链,甚至不再区分持牌与非持牌背景。
数字身份安全认证呼之欲出
各行各业都在进行数字化转型的今天,传统的身份证、银行卡的数字化势在必行。将真实身份进行数字化,涉及到我们的所知、所持、所有,包括我们设置的密码、口令、持有的U盾,以及我们所有的生物特征,包括人脸、声音、指纹、虹膜等等;另一方面,我们在数字世界的行为痕迹也构成了我们的数字身份。这些数据构成我们数字身份的重要组成部分,一旦被私下贩卖,或是被攻击破解,将引发严重的后果。由于我国目前缺少网络身份识别和服务的公共基础设施,绝大部分网络应用只能以姓名、身份证号等明文信息的形式在网上进行身份认证,这是导致个人信息泄露的深层原因。独立于传统的公民身份信息系统之外,由公安部审查、管理并推广的“公民网络身份识别系统”,越来越体现出其必要性。
eID是公安三所主推的网络身份认证技术,以密码技术为基础、以智能安全芯片为载体,由“公安部公民网络身份识别系统”签发给公民的网络电子身份标识,能够在不泄露身份信息的前提下在线远程识别身份。
由于含有一对由智能安全芯片内部产生的非对称密钥,eID能够通过高强度的安全机制确保其无法被非法读取、复制、篡改或使用。其唯一性标识采用国家商用密码算法生成,不含任何个人身份信息,有效保护了公民身份信息。
2018年8月,三所携手华为全球首创,采用国密算法和国产芯片将eID植入手机安全智能芯片,实现了“分钟级”空中开通、“秒级”线上身份认证和“秒级”线下身份核验,高安全、高体验的统一,让用户耳目一新。
目前,包括华为、荣耀、vivo、OPPO、小米等主流手机品牌均已支持eID功能。据悉,三所正联合更多厂商开发推出可加载eID的手机,预计到年底可达1.5亿台。
随着数字世界的边界不断扩展,公民的数字身份安全将越来越受到关注。智能手机被认为将在IoT时代肩负起更多的功能,三所将发行重点放在以手机为代表的移动安全智能终端上,可以说是顺应趋势。不过, 如何开拓至更多的终端设备、并推动实际产品落地是eID当前的发展关键。此外,在当前的众多场景中,仍以生物识别方案(以指纹、人脸为主要代表)为主流,这也是eID需要面临的挑战。
安全永远是信任的锚点
在今年的云栖大会上,有一场关于“数字身份认证如何保障用户隐私”的圆桌对话。公安部三所网络电子身份技术事业部书记严则明表示,当前,数字身份所面临的问题,第一是个人的隐私保护,第二要解决数据流通问题,要有规则,不能滥用。今年5月,公安部三所正式提出了eID数字身份链,它是以eID数字身份为统一的个人身份标识,结合eID电子签名和区块链技术,链接个人各维度数据的数据流通服务平台,是在eID数字身份体系上发展起来的eID应用基础设施服务。未来,eID数字身份链有望支持各级政府智慧政务领域的大数据技术创新示范应用和开放共享,支持开展面向政务民生、金融、医疗、物流、旅游等领域的大数据应用。清华AI研究院听觉智能中心主任、得意音通创始人郑方,认为数字身份应该包括两方面,一方面是身份的数字化表示,另一方面是身份的数字化管理以及认证。由于身份的呈现是多面的,表现为不同的生物特征,或存在于不同的介质。另一方面,大数据技术可以利用搜集到的碎片化信息,合成出数字身份,即进行身份重建。身份的呈现和重建是互逆的两个过程,这里就存在很大的安全问题。他认为,几年后应该实现人的身份的社会属性与法律属性的统一。初级阶段可能需要借助或绑定一些特定的硬件设备,比如手机或可穿戴设备,后期则有望脱离这些硬件设备,只需要一些通用的传感器设备,无需依赖于人,完成采集信息后利用可信的认证技术进行身份认证即可。
arm中国安全技术市场总监王骏超则表示,数字身份也好、隐私保护也好,对于消费者来说是信任。以生物识别为例,很多人不愿意把自己的生物特征传到云端,更愿意将自己的信息放在自己的设备中,在本地进行认证,只需把结果传到云端。这样就对本地设备的安全提出了很高的要求,通过CPU架构的设计,将TEE (Trusted Execution Environment)和SE(SecureElement)配合,在保持计算能力的同时,进行有效的硬件隔离。在IoT应用中,将智能手机与车或家庭联网,实际上需要端到端的安全,以及密钥、认证流程的安全性,同时还要保证整个生命周期的安全,要考虑到所有攻击的情况,如何进行安全的升级、注销等等。因此需要整个体系上的防护,从整个生态体系去构建安全。
arm作为在嵌入式处理器领域占据主导地位的方案供应商,曾提出支持TEE技术的TrustZone,成为TEE技术的主导者之一。此外,还有华为、中兴、高通、阿里、小米、豆荚科技、握奇、融卡科技等均可提供TEE方案。
支持TEE的芯片架构平台包括:Intel、AMD、三星、苹果、华为、TI、NXP等。
值得一提的是,人脸、指纹、声音、虹膜等生物特征识别技术,由于承载了重要的身份信息,正在成为辨认个体身份的“重要数据”。 就今年最火爆的人脸识别而言,在做支付应用时,TEE+SE的方案被普遍认为能够提高终端的安全防御能力。
加减科技前沿技术主管杨波表示,SE具备承担物理隔离安全区域的能力,可存储安全敏感信息,进行密码学运算,且在移动支付领域扮演了类智能卡的角色,形成了各类智能手机的Pay应用模式,因此SE产品的安全要求不低于金融IC卡的安全标准。在SE的安全保障前提下,TEE的辅助应用作用也必不可少,可为端侧提供安全的算法运行环境。
不过,在复杂多变的网络空间仅依靠人脸等单一生物特征进行验证,存在一定的安全隐患,所以密码键盘短期内不可缺少。另外一个主要的风险问题体现在,当前人脸识别终端推广力度较大,便利优先,但是安全防护与标准规范滞后,需要尽快出台,发挥作用。
正如一位专业人士所说,如果把信息安全体系看作一个木桶,安全技术就是组成木桶的一块块木板,整个系统的安全性取决于最短的一块木板;而数字身份中的身份认证就相当于木桶的桶底,由它来保证物理身份和数字身份的统一,如果桶底是漏的,那桶壁上的木板再长也没有用。
因此,身份认证是整个数字身份体系最基础的模块,一切应用和业务都要建立在可信的标准身份接口之上。未来在数字身份领域还有更多未知等待行业去探索和发现。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
se
+关注
关注
0文章
31浏览量
51254 -
TEE
+关注
关注
0文章
29浏览量
10260
发布评论请先 登录
相关推荐
身份证云解码读卡模组CSYJM-6U嵌入式身份证读卡模组
。· 网络延时200ms内仍能满足终端读取身份证信息的要求。· 平均解码速率 955ms/次,解码成功率 99.9%。· 支持Android/Windows/Linux/鸿蒙多个操作系统。· 数据传输
发表于 12-19 13:58
霍尼韦尔以13.3亿美元出售个人防护设备业务 聚焦核心领域
霍尼韦尔近日宣布已同意以13.25亿美元的全现金交易价格将其个人安全防护设备(PPE)业务出售给Odyssey Investment Partners的投资组合公司Protective
魏牌全新蓝山荣获汽车座舱个人信息安全保护验证证书
近日,在2024中国国际汽车技术领袖专题论坛上,中汽研科技有限公司软件测评中心(以下简称“软件测评中心”)向魏牌全新蓝山颁发了国内首批《汽车座舱个人信息安全保护验证证书》,对魏牌全新蓝山的个人信息安全工作给予了充分的肯定。
曝Apollo拟向英特尔投资50亿美元
资产管理巨头Apollo近日透露出对科技巨头英特尔的浓厚兴趣,计划进行一笔高达50亿美元的股权投资,这一数字约占英特尔当前市值(931.9亿
身份证云解码模块嵌入式身份证读卡器 (CSYJM-3)
次解码平均耗时不1.5秒。
网络延时200ms内仍能满足终端读取身份证信息的要求。
平均解码速率955ms/次,解码成功率99.9%。
支持AndroidWindowsLinux个版本对接
发表于 09-04 14:57
ADVANCE.AI:头号公敌!合成身份伪造盛行,金融科技企业如何应对挑战
,有近一半的受访企业(46%)遭遇过合成身份欺诈,合成身份欺诈包括使用真实和虚假信息的混合,或者来自不同个人的真实信息的组合,来创建一个新的
全民认证斩获2024数字身份创新应用大赛一等奖
2024年5月22-23日,由公安部第一研究所、国家信息中心、多维身份识别与可信认证技术国家工程研究中心指导,数字身份创新应用大赛组委会主办,中关村安信网络
科技巨头动态:阿里巴巴再向Lazada注资 特斯拉市值一夜大涨2692亿 曝TikTok本周将进行裁员
科技巨头动态:阿里巴巴再向Lazada注资 特斯拉市值一夜大涨2692亿 曝TikTok本周将进行裁员 小编给大家汇总一下今天几家科技巨头的最新动态: 阿里巴巴再向Lazada注资 阿
275亿!电子巨头出售重要业务
KPS(KPS Capital Partners, LP),该交易预计将于2025财年上半年完成,这是这家德国工业巨头重组其投资组合的最新举措。 近年来,这家欧洲最大的工业公司一直在寻求简化其庞大的业务
英特尔即将完成谈判 芯片巨头将达成110亿美元的工厂交易
5月13日消息,美国半导体巨头英特尔(INTC.US)正与阿波罗全球管理公司(APO.US)就一项交易进行深入谈判,后者将提供逾110亿美元(约796.14亿人民币)帮助英特尔在爱尔兰
苹果谷歌200亿美元秘密交易曝光
在近期美国司法部对谷歌提起的反垄断诉讼中,一项此前鲜为人知的巨额交易细节被曝光。据法庭文件显示,谷歌在2022年向苹果支付了高达200亿美元的款项。这一巨额交易背后,其实质是确保谷歌能
日产10万客户个人信息遭窃,包括身份证和驾驶执照等敏感信息
据统计,此次被盗的信息包括超过1万条“身份证”信息,7500张驾驶执照,4000张医疗保险卡,1300个税务档案号码以及220本护照信息。
沃达丰将斥资15亿美元购买微软的服务
电信运营商巨头沃达丰集团宣布了一项重大交易,将斥资15亿美元购买微软的服务。这一交易的目的是提升沃达丰在欧洲和非洲市场的影响力,特别是在发展中小企业客户方面。通过这次合作,沃达丰旨在为
Synopsys收购Ansys,1100亿美元“芯片设计巨头”诞生
全球电子设计自动化(EDA)巨头Synopsys近日宣布,将以350亿美元的巨额交易收购仿真软件制造商Ansys。这一并购案将成为近期科技行业规模最大的一次交易。
评论