光大银行ios客户端被曝严重安全漏洞，面部识别和指纹验证形同虚设，如被盗刷银行难逃其咎

使用CN2/CN2GIA顶级线路，支持Shadowsocks/V2ray科学上网，支持支付宝付款，每月仅需 5 美元

## 加入品葱精选 Telegram Channel ##

先介绍下基本情况：

本人曲玉*，联系电话：1860981167*，本人于2021年8月在光大银行沈阳铁西支行开立储蓄卡（尾号2957），开卡后由于光大银行未严格按照国家法律法规开展业务，导致我的银行卡在2021年8月3日至2021年8月10日期间被网络盗刷，被盗刷的存款总金额是859942元，已经在公安机关报案，目前案件还在侦破中。

光大银行的系统漏洞在哪？

1、指纹识别非本人指纹

光大银行已经承认，我的银行卡在转账的时候，光大银行的系统验证的是犯罪分子的指纹，而非我本人的指纹，见下方录音。我在银行开卡，已经预留了指纹，我自己的银行账户，自己的存款，光大银行的系统理应把我预留的指纹和转账时的指纹进行比对，不应该比对机主的指纹，这是系统漏洞。

光大银行的安全系统，不应该有这样的功能（验证别人的指纹，给自己的银行卡转账），即使有协议约束，银行系统也不应该有这样的功能，不合逻辑，容易被犯罪分子利用。光大银行说开卡协议中已经提醒储户不要使用其他人的指纹，但是这是格式条款，是不合理的规定。例如动物园售票的时候要求游客签字，遵守园区规定，出现后果自行负责。然后在老虎的笼子外面没做围挡，小朋友把手伸进去被老虎咬掉了。动物园说，已经告诉你了，不要伸手，出现后果你们自行承担责任。这是同样的情形，虽然有协议约束，也要考虑协议是否合理？光大银行在设计用户协议的时候，是否充分考虑了储户的合法权益？协议的条款能否屏蔽掉风险？

这个严重的系统漏洞已经被犯罪分子利用了，而且给我造成了85万的损失，后续会有多少储户的存款遭受损失？光大银行就是目前日益严重的网络犯罪的帮凶。

光大银行的工作人员，把所有手机银行的使用场景限定为储户不会使用其他人的手机登陆手机银行，所以光大银行手机银行的安全设置是基于这个使用场景而制定的。但是现实生活中，储户无法100%保证不使用其他人的手机登陆手机银行，万一这种情况发生，光大银行允许验证其他人手机的机主指纹，而非卡主指纹，这是荒谬的。

2、人脸识别非本人人脸

光大银行的系统里显示，我在转账时做过人脸识别，可我本人从来没做过人脸识别，光大银行识别犯罪分子的假脸就把我的钱转走了，有可能是硅胶面具，也有可能是犯罪分子播放的视频就攻破了光大银行的安全系统，甚至有可能是光大银行的内鬼为转账开辟了绿色通道。光大银行的人脸识别系统，已经被犯罪分子攻破，不具有安全性，交通银行的人脸识别系统被攻破有过类似的新闻报道，光大银行也是同样的情况。人脸识别作为银行的一道安全防火门，如果这扇门的钥匙在犯罪分子手里，那会有多少老百姓遭受损失？国家有规定，用户的交易信息，包括人脸识别的照片、人脸识别的相似度以及参数需要保存至少3年，我想要获取这样的数据，或者申请做第三方鉴定，可是银行不给做；

3、银行拒绝公布登陆IP地址

光大银行的后台可以查到具体在哪个城市登陆的手机银行，是在国内还是国外？由于疫情近几年我从未出国，甚至很少离开沈阳市，如果是在国外登陆的手机银行，那就100%是犯罪分子盗刷的，银行需要承担赔偿责任，根据《2005》第23号电子支付指引（第一号）第27条，银行应依法对客户的资料信息，交易记录等保密。除国家法律、行政法规另有规定外，银行应当拒绝除客户本人以外的任何单位和个人查询。我本人有查询我本人登录地址的权利，但是光大银行不提供给我登陆地址，时至今日，我也不知道我的手机银行在哪里登陆并把钱转走的。这很明显是欺负老百姓。

事出反常必有妖，手机银行的登陆密码犯罪分子是如何获取的？警方目前没有调查结论，猜测有可能是我本人在不同的社交媒体使用过两个相同的密码，某个社交媒体的用户信息被网站泄露后，犯罪分子在不同银行的手机银行尝试登陆，总可能会有几个验证成功的。而作为安全屏障的人脸识别，识别的又不是我本人的活体人脸，密码验证的不是我本人的指纹，所以犯罪分子轻而易举的就把钱转走了。

据了解，银行系统的人脸识别环节通常是外包给第三方公司做，这是一块巨大的蛋糕。光大银行的人脸识别环节，应该是委托给“云从科技集团股份有限公司”来做，在供应商引入的环节是否依法进行了招投标，是否进行了相关公开披露？是否有内幕交易不得而知。而在光大银行和云从科技的采购合同中，如果人脸识别错误具体是哪方承担赔偿责任，是否应该向消费者公布？如果云从科技的人脸识别系统被犯罪分子攻破，是光大银行承担赔偿责任？还是云从科技承担赔偿责任？

根据银发（2020）45号文件，附件个人金融信息保护技术规范中，4.2条a点，C3类信息主要为用户鉴别信息，包括用于用户鉴别的个人生物识别信息。6.1.4.4委托管理条b点，C3以及C2类别信息中的用户鉴别辅助信息，不应委托给第三方机构进行处理。人脸识别属于用户鉴别辅助信息，不应该委托云从科技处理，而光大银行却委托了，这是否违法呢？

百度可以查到，年内光大银行已经有多名高管因为贪腐落马，包括不限于如下名单，不知道是否与招投标贪腐有关联。

1、中国光大控股有限公司原党委书记、行政总裁陈爽；

2、光大银行原党委副书记、副行长张华宇涉嫌严重违法接受监察调查；

3、光大银行交易银行部原总经理夏伟被“双开”，曾担任光大银行烟台分行行长助理、副行长、行长；

4、光大银行南宁分行先后两任行长相继落马；

5、中国光大实业（集团）有限责任公司党委书记、董事长朱慧民被开除党籍和公职；

6、光大银行呼和浩特分行党委原书记、行长张翎接受审查调查；

7、中国光大实业（集团）有限责任公司党委委员、副总经理黄智洋接受纪律审查和监察调查；

8、中国光大银行深圳分行原副行长邹建旭涉嫌严重违纪违法，接受监察调查；

9、光大证券原董事长薛峰；

……

银行作为银行借记卡的发卡行及相关技术、设备和操作平台的提供者，在其与储户的合同关系中明显占据优势地位，银行理当承担防范网络盗刷的识别义务。普通储户相较于银行的弱势地位。

光大银行系统漏洞不是一次了，【附7】就是光大银行的系统漏洞给储户造成了损失，法院判决光大银行承担全部赔偿责任。

【附1】本人亲属对光大银行手机银行进行测试，安全验证是手机机主的面容，非卡主的面容（指纹识别和面容支付在光大银行统称生物识别，光大银行的系统设定的逻辑是，无论指纹支付还是面容支付都是验证机主的生物信息，而非卡主的生物信息）

【附2】2021年11月26日，光大银行沈阳分行数字金融部领导与曲玉*家属会谈录音。

【附3】光大银行沈阳铁西支行的领导承认，可以刷机主的指纹，而非卡主。

【附4】光大银行手机银行指纹服务协议中关于指纹的条款，大家也可以下载查看。

1、开通指纹支付的时候，需要经过人脸识别的环节，不是我本人进行的指纹识别，所以该条款对我没有约束力，我也没有阅读过；

2、协议中约定了不能使用手机机主的指纹开通此功能，证明光大银行已经知晓了使用别人手机开通此功能带来的风险，但是消费者因为充分相信银行的安全性不会去阅读格式条款，无法排除消费者在本人手机没电使用其他人手机登陆的情形，这种消费者的无意之举带来的财产损失谁来承担？

3、参照同业标准，其他银行的App都对这种操作进行了严格限制，因为其他银行知道这是bug，会被犯罪分子利用，光大银行已经是电信诈骗日益猖獗的帮凶。

【附5】光大银行沈阳铁西支行的照片。

【附6】我在中国人民银行举报信的部分节选，截止到2022年8月22日，人民银行尚未给我答复。

举报内容三：我的银行卡被网络盗刷期间的全部交易，光大银行没有采用安全可靠的指令验证方式，没有采用数字证书，仅仅采用了指纹的生物识别，而且光大银行沈阳铁西支行的姜行长承认，光大银行系统识别的是转账手机机主的指纹，而非我本人的指纹。请人民银行查处光大银行识别他人指纹就给与转账的违法行为。

首先，开通生物识别的环节中，非我本人开通，验证手机机主指纹的协议对我没有约束力；

其次，根据中国人民银行银发[2016]261号文件第（九）条第二款之规定，除向本人同行账户转账外，银行为个人办理非柜面转账业务，单日累计金额超过5万的，应当采用数字证书或者电子签名等安全可靠的支付指令验证方式。光大银行的系统允许验证手机机主的指纹，而非银行卡卡主的指纹，这不安全，也不可靠。

再次，根据《中华人民共和国电子签名法》第二条之规定，电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。

光大银行手机银行安全系统允许识别手机机主的指纹，识别的是手机机主作为签名人的身份，这仅能表明手机机主认可其中的数据，所以该电子签名仅对手机机主有约束力，对我本人没有约束力。光大银行在没有我本人电子签名的情况下就给与了转账成功，违法违规。

从次，中国人民银行令2020第5号《中国人民银行金融消费者权益保护实施办法》第二十一条第二款第（五）项规定，银行不得以格式条款做出对金融消费者不公平、不合理的规定。光大银行的系统允许使用其他人的指纹做安全验证，这是对我做出的不公平、不合理的规定，也是系统漏洞，违法违规。

最后，根据《中国人民银行关于发布金融行业标准 加强移动金融客户端应用软件安全管理的通知》（银发〔2019〕237号）的附件安全管理规范5.2.1逻辑安全设计的基本要求b款，对于交易处理功能的逻辑设计应充分考虑其合理性，避免逻辑漏洞的出现。

请问光大银行的银行转账验证其他人的指纹就给与转账成功，这是合理的吗？这是逻辑漏洞吗？我在银行开卡已经预留了指纹，为什么不验证我本人的指纹？这个漏洞被犯罪分子利用了会有什么后果？这个新闻如果公布到媒体，银行业必然会像唐山事件的犯罪分子一样被全民唾弃，使银行业的公信力大大降低，请人民银行纠正错误，还我公道。

【附7】中国裁判文书网中，（2020）鄂01民终10330号案件关于网络盗刷的部分节选，同样是光大银行的系统漏洞，这个案件中，犯罪分子购买的个人信息，并完成了犯罪过程，储户无责，法院判决光大银行赔偿储户的全部损失。

根据辽宁省凤城市人民法院作出的（2018）辽0682刑初1号刑事判决，犯罪分子盗刷颜泽启银行卡资金的手段和经过主要为：1、犯罪分子王晓伟此前已掌握了非法获取的上亿条个人信息，2、犯罪分子王晓伟、方亚文通过二人技术手段重复剔除，筛选出符合华为牌手机的云端账号和密码，3、犯罪分子利用筛选出来的手机账号和密码进入华为手机的云端，进入后可以看到里面的照片、短信等信息，其中通过短信可以看到这个手机绑定的银行卡及卡内余额，并将银行卡里有钱的手机用户账号和密码记录下来，4、通过用户手机号码碰撞12306购票网站，匹配出密码，搜索用户个人信息，获取手机用户的姓名和身份证号码，5、通过上述非法获取的用户姓名、手机号码、身份证号和华为云端里找到的信息（银行卡、实时短信等），登录此人的手机银行或注册登录5173交易平台，进而盗取银行卡内资金，6、在上述盗刷过程中，如用户开通了短信支付，页面显示输入短信验证码时，犯罪分子就翻找用户的华为手机云端里的短信，获取验证码输入后完成支付；如未开通短信支付，犯罪分子就通过技术手段，对用户在华为手机云端的资料进行分析猜解出用户银行卡交易密码，犯罪分子称猜解破译交易密码的概率是五五开。上述犯罪手段和经过足以表明案涉银行卡资金被盗刷完全是由犯罪分子行为导致，并且利用的是华为云端服务、12306网站等方面的漏洞，其个人姓名、身份证号码、手机号码、银行卡交易密码等信息被窃取破译并使用，并非是利用了光大银行借记卡及交易系统的技术缺陷来完成。

【附8】银行的人脸识别系统被犯罪分子攻破。

https://www.sohu.com/a/568691191_220095

互联网是有记忆的，巧了，就在11年前的今天（2011年8月22日），新闻曝光“光大银行网银事故频发，银监会调查现三大漏洞”。

最后，是个彩蛋。光大银行近日在官网放出了一则招标公告：中国光大银行统一安全漏洞管理系统新建项目。

新建项目，新建项目，新建项目……

说明什么？之前光大银行就没有一个统一的安全漏洞管理系统。也难怪了。

http://www.cebbank.com/site/zhpd/zxgg35/cggg/195883333/index.html

看来，这玩意只能在中午用。

有同样遭遇的光大储户，可以后台私信联系，有必要的话，我牵头来拉个专门的“光大被盗刷维权群”或“苹果ios被盗刷维权群”。

来源：实测

欢迎关注灰产圈社群服务号

最简单好用的 VPS,没有之一，注册立得 100 美金