多种手机APP称可“直连央行征信”,用户面临安全风险

最近一年,一些手机APP开始在朋友圈卖力推广,号称不用跑银行排队等候,在手机上下载个APP应用,就可以查询自己在央行征信系统中的个人信用报告。有市民下载使用后还感觉很方便,完全没有感知到这背后埋藏着严重的信息安全隐患。

日前,中国人民银行发布《关于进一步加强征信信息安全管理的通知》(以下简称“通知”),通知指出,运行机构和接入机构要健全征信信息查询管理,严格授权查询机制,未经授权严禁查询征信报告,规范内部人员和国家机关查询办理流程,严禁未经授权认可的APP接入征信系统。

多种APP称可以“直连央行征信系统”

昨天,北京青年报记者登录央行征信中心官网,首页正中间就是一行醒目的加粗红字:“安全提示:征信中心未授权任何第三方应用程序(APP)提供个人信用报告查询服务,敬请广大用户注意。”

随后,记者在苹果的APP商店里用“征信”关键字随意搜索出十多条号称可以进行个人征信查询的APP,其中好几个都自称“直连央行征信系统”。比如,一款由杭州某信息技术公司开发的名为“征信-个人征信查询”的APP,介绍自己“直连央行征信查询中心,24小时免费领取个人征信查询报告”“是您随时查看个人征信报告的信用助手”。还有一款杭州某资产管理公司开发的“征信报告-贷款信用报告在线查询”APP,自称“对接央行征信中心,进行身份验证,24小时快速免费查询个人身份报告,无需去银行奔走排队,省时省力”。

业内人士表示,现在接入央行征信系统的只有符合条件的银行和小额贷款公司、融资性担保公司、村镇银行等金融机构,市场上这些第三方APP本身是不可能与央行直连的。只不过用户用自己的个人信息在这些APP上注册后,APP可以通过技术手段,帮助用户在手机上进入央行征信中心的个人信用信息服务平台进行查询。对用户来说,无论是注册、身份验证还是最后收到查询报告,整个过程是在APP上进行的。但实际上是这些APP利用用户提供的信息,帮助用户在征信中心的平台上进行查询。对征信平台来讲,通过APP来查询的人和直接进入平台查询的人在流程和需要提供的信息上并没有不同。这些APP实际上充当了一个中介的角色。

第三方APP留下极大安全隐患

既然个人可以在网上查询自己的征信报告,为什么还会有人要在手机APP上查询呢?业内人士告诉北青报记者,主要就是图个在手机上查询的方便,但其实这种方式非常不安全,很容易被盗用信息。因为,用户在使用这些APP的过程中,一般要通过手机和验证码注册,随后还要进行身份验证。在身份验证的过程中,用户需要输入身份证等个人信息、还要回答一些私密问题甚至还可能被要求输入银行卡等信息。这些信息和随后查询到的央行征信报告(记载了个人通讯方式、住址、婚姻状况、职业信息、银行贷款记录、信用卡透支记录等详细信息),全都是最容易被盗用、最需要保护的个人隐私。但是,从理论上讲这些APP可以轻而易举地将它们留存使用,给客户留下极大的安全隐患。一旦之后被人非法使用,将造成难以预测的后果。这也正是此次央行明文禁止未经授权认可的APP接入征信系统,加强对征信系统查询管理的主要原因。

事实上,一些不靠谱的APP此前已经在用户的差评中显形。北青报记者昨天看到,厦门某融资租赁公司开发的一款“信用查询”APP,号称是全国第一款支持手机查询个人央行信用报告的APP,可用户评分只有1.7分。有用户抱怨“不是收不到验证码就是登录不上”,还有用户直言“这软件就是骗人信息的,千万注意”。

央行要求规范异议处理流程

据了解,央行通知要求,运行机构和接入机构要切实加强对征信各级管理人员和从业人员的全员征信合规性教育培训,围绕征信信息安全管理,通过加强征信系统用户管理、健全征信信息查询管理、优化自助查询机管理、完善征信异常查询监控机制、妥善办理异议与投诉等措施,完善征信业务操控流程,牢牢守住不发生征信信息安全风险的底线。

在健全征信信息查询管理方面,通知要求运行机构和接入机构要健全征信信息查询管理,严格授权查询机制,未经授权严禁查询征信报告,规范内部人员和国家机关查询办理流程,严禁未经授权认可的APP接入征信系统。从严管理批量数据,按照合法、正当、必要的原则,严格按流程和保密要求办理批量数据的抽取、留存、流转、应用和销毁,确保各环节数据安全。

同时完善征信异常查询监控机制,妥善办理异议与投诉。运行机构和接入机构应分级建立征信用户查询操作日核查机制,完善异常查询监控、处置与报告机制;不断优化和调整征信查询日核查与实时监控指标,不断提高征信用户自查与自控的能力。严格遵守异议处理时间,规范异议处理流程,按规定出具相关文书,做好异议申请、处理资料的保存、归档;强化投诉办理,规范投诉流程,及时办理信息主体投诉,提高信息主体的满意度。以异议和投诉为重要线索,对可能涉及的征信信息安全风险事件及时进行全面排查,及时发现问题和排除隐患。

提示:查询央行个人信用报告有四种官方途径

据了解,目前,个人信用报告的官方查询渠道主要有四种。其中线下查询方式有两种,第一种是现场查询,可以在各地央行的征信分中心或其他指定分支机构进行柜台查询。第二种是自助机具查询,可以通过指定银行网点的自助查询机查询。

线上查询方式也有两种,一种是互联网查询,需要个人登录央行征信中心的个人信用信息服务平台进行注册和提交申请。另一种是中信、招行等银行的网银用户在网银上查询。

银行业内人士表示,个人通过央行征信中心的个人信用信息服务平台查询征信报告最方便,安全性也有保障。但是线上查询只能查到简化版的征信报告,如果需要明细版只能线下查询。

*本文转载自:中国青年报,由 AdlerI 整理。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-05-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏域名资讯

霸气十足! 戴跃豪气买下2字母域名JP.com

新年伊始,米市里突然传出一枚二字母域名成交的消息:日本国家域名JP.com被投资人戴跃拿下!也是给今年来了个“开门红”,也再次证明精品域名一直是域名投...

2669
来自专栏申龙斌的程序人生

后悔,4年前就该玩这个现金流游戏

2014年就读过《富爸爸、穷爸爸》这本书,还认真做过笔记(https://www.cnblogs.com/speeding/p/3961725.html),当时...

9432
来自专栏飞总聊IT

微软的数据湖也凉凉了

昨天坐飞机,就听到微软的朋友说微软的数据湖完蛋了,队伍解散了,那个曾经领导了这个项目的印度人Raghu成了名副其实的光杆司令。在飞机上心情拔凉拔凉的。当然飞机上...

6282
来自专栏数据和云

数据库流行度11月排行榜:Oracle 意外滑落和 PostgreSQL 再创新高

2018年11月数据库流行度排行榜已经出炉,让人意外的是,这个月 Oracle 的积分和 MySQL 双双下滑,而且是在 10 月 Oracle OpenWor...

1282
来自专栏腾讯云安全的专栏

风险预警|​大型票务网站用户密码遭泄露,导致用户被骗超百万!

2167
来自专栏腾讯云技术沙龙

刘歧:视频云处理平台素材合法化

视频处理素材库各式各样,也会涉及到很多合法化或者安全性的问题。这些问题如何解决?接下来有请OnVideo视频创作平台CTO刘歧先生,为大家带来他的一些实践跟应用...

6996
来自专栏北京马哥教育

那些年我们刷的运维日常

那些年我们刷的运维日常 运维不易,且行且珍惜! 那些年,我们不仅维护了服务器。还锻炼了一副好身体(码代码的肯定打不过抗服务器的啦哈哈哈) ? ? ? ? ? ?...

3549
来自专栏腾讯数据中心

真的那么巧吗?——加油站停业改造就遇上停电

2016年4月28日上午,腾讯数据中心高级工程师小K突然收到一张微信图片——《关于F加油站(腾讯B机房协议油站)停业改造升级的通知》。 ? 小K当时心想,改就...

4838
来自专栏数据的力量

42种网络学术搜索引擎大全--值得珍藏

3835
来自专栏黑白安全

浅析所谓的“安全圈黑客”

清一色的废站,无人管理,无人运维,甚至只是网上随便下一套源码随便改改,改改版权改改Logo

1112

扫码关注云+社区

领取腾讯云代金券