大學生利用漏洞“騙走”京東110萬, 中心化白條的漏洞, 區塊鏈能否補得上?
3月8日,備受關注的“京東白條漏洞詐騙案”在長沙一審宣判,汪某等九名涉案人員因騙取京東公司110萬元,被以詐騙罪判處10年9個月至1年2個月不等的有期徒刑,涉案人員包括汪某在內,共有4名大學生。
大三的汪某在2017年偶然發現京東白條存在巨大漏洞: 開通白條無需本人實名驗證,也不用繫結銀行卡,只用身份資訊即可註冊賬號,並直接申請白條的稽核面籤。
而面籤環節形同虛設,只需在學信網獲取他人學籍資訊用於申請,便可輕鬆通過。
發現利益的汪某, 迅速夥同其他好友非法盜取他人資訊用於註冊白條賬號,並將賒購商品轉賣銷贓,事後分配利益,形成“騙收銷”的鏈條 。
作案流程模擬圖
據悉,目前全國已有超過200人因“京東白條”詐騙而犯法並獲刑,已披露的107名涉案人員平均年齡28歲,最高刑期19年。而因受騙導致身份資訊被冒用的受害大學生超過362人,令人痛心。
對於此案, 京東方面迴應白條漏洞已於2017年修復,京東金融目前已將核驗身份方式升級為人臉識別等智慧手段 。
而對於身份資訊被冒用而受損的使用者,在認定盜刷後,將免除使用者還款責任,並對賬務進行特殊處理,不影響使用者徵信。
京東白條的漏洞是什麼?
回顧案件中汪某的詐騙流程, 不難發現以下兩個問題 。- 實名制部分的業務邏輯有漏洞 : 註冊賬號並申請白條業務後,無需本人實名認證,也不用繫結銀行卡,直接進入面籤。
- 公司方的面籤及風控問題 : 犯罪嫌疑人持他人證件進行面籤,當地的面籤官視而不見,且面籤要錄製視訊上傳總部,多道程式未能發現詐騙發生,公司自身風控環節存在問題。
由於京東白條屬於消費金融業務,其資產資料量大,管理較為複雜,傳統模式下如果全部進行人工穿透式核查,效率低下不言而喻,因此自動化風控是必要的。
白條管理的困境,區塊鏈能做什麼?
關於白條業務的種種難題,京東方面也在不斷嘗試新技術,近年來概念火熱的區塊鏈技術便是其中之一。
例如,2018年6月13日,“京東金融-華泰資管19號京東白條應收賬款債權資產支援專項計劃”設立,京東金融建立多方部署的聯盟鏈,對ABS(資產證券化)雲平臺區塊鏈底層技術的升級。
其意義在於對消費金融中的底層資產專案的優化。京東白條ABS涉及的資產資料量大、管理複雜。當託管人、管理人等參與方要核查貿易、供貨、物流等資訊時,一般是通過律師做穿透式核查。
而利用區塊鏈技術中分散式記賬、防篡改等技術特性,白條業務的底層資產以及現金流、產品、賬務等資料資訊流在ABS各參與方之間得以實時共享並確認交易,有助於實現資訊增信、提升效率,直接降低了白條業務的信用風險。
通過區塊鏈底層改造,嘗試破解金融ABS難題的初衷很好,但中心化的白條業務,能否也通過區塊鏈技術進行優化呢?
白條如何利用區塊鏈,實現去中心化?
33複雜美是國內最早投入區塊鏈白條業務的公司之一,針對這一事件,其CEO吳思進認為,區塊鏈技術可以改變傳統網際網路白條業務的現狀。
在吳思進看來, 上述“白條詐騙案”本質上是風控出現了漏洞,註冊時沒有進行實名認證 :目前網際網路白條業務,其市場主要被大型企業所佔領,而面對業務中存在的風險,大企業往往習慣於通過提升主觀犯罪成本來遏制風險,為的是降低風控管理的技術成本,事實上已有的人臉識別等技術完全可以防範。
而目前網際網路場景下,即便使用者進行了實名認證,白條的風險仍然存在。
一方面,“白條”屬於消費貸金融業務,使用者購買商品,自然繞不開支付環節。
目前大家習慣於使用密碼支付,而一旦密碼被擷取,或中心化資料庫被攻破,並被不法分子用於支付就會十分危險。而在傳統網際網路解決方案中,系統根本無法判斷支付者是否為本人。
但區塊鏈則給出了新的支付授權方案 —— 通過使用者本地私鑰簽名進行驗證。 區塊鏈解決方案中,一個使用者對應唯一的私鑰用於數字簽名,使用者的各項行為都需要通過私鑰簽名進行驗證確認。
使用者與另一方的一次互動可以被簡單視為一次交易, 原始的交易資料和使用者的私鑰通過簽名演算法合成正式的交易資料,使用者用私鑰進行確認無誤後,交易資料將對區塊鏈進行廣播,並由所有節點參與校驗 ,最終將校驗正確的資料記錄到區塊鏈上,實現去中心化的分散式記賬。
而區塊鏈的私鑰理論上只能使用者擁有,不像字元密碼需要在中心化資料庫中儲存以作驗證。
區塊鏈的私鑰由隨機演算法生成,通過SHA256演算法獲得私鑰,同時通過橢圓曲線演算法用私鑰生成公鑰。公鑰常用於交易中收款的確認, 由於非對稱加密的特性,使得使用者的私鑰被擷取和破解的成本極高 ,也就大大提升了支付環節的安全性,使用者隱私等得到有效保護。
私鑰生成原理示意圖
此外,區塊鏈的交易資訊全部上鍊,且不可篡改,所有交易流程更加易於追蹤,通過技術手段進一步提升了犯罪成本。
白條的未來,中小企業的逆襲
儘管區塊鏈技術對於支付環節的優化,無疑將大大提升使用者資訊保安性和平臺可信度,但吳思進認為, 區塊鏈對於白條業務的最大意義,體現在其對於市場的重塑,中小企業將通過區塊鏈技術實現逆襲 。
以本次“白條詐騙案”為例,京東這樣的巨頭企業資源甚廣,一旦被鑽了技術漏洞,仍可以通過強大的法律團隊及時挽回損失,而如果是中小企業身處同樣境地,最終恐怕後果就很難說了,這一現狀無疑導致中小企業對消費貸業務望而卻步。
但運用區塊鏈技術,直接降低了消費貸風控環節的技術成本,進而幫助中小企業降低入場門檻,尤其是降低了對伺服器安全性的要求,這讓中小企業資料安全性得到使用者認可,從而得到了與大型中心化企業爭奪市場的技術資本。
除此之外, 區塊鏈技術在司法仲裁過程中的取證方面,同樣可以解決傳統物聯網無法解決的問題 。
比如,我們與杭州網際網路法院合作的“合同上鍊”等專案, 網際網路法院通過對“認證、消費”等動作資料上鍊存證,並且包括電子合同、交易資料等都需要由涉世方私鑰簽名進行驗證,無法作偽或推脫責任 。
一旦發現詐騙或法律糾紛,法院通過區塊鏈追溯、調取資料取證,涉案各方的法律責任便清晰明確,司法辦案效率將大幅提升。
如今的中心化機構憑藉流量介面的優勢,通過白條業務輕鬆盈利,但在今後的區塊鏈時代,更多中小企業將通過區塊鏈去中心化的解決方案發行白條,獲得更多的生存空間,消費者也將獲得更多更好的金融服務和使用者體驗。
*本文作者Edwin, 專注區塊鏈業務解決方案,阿里雲IoT認證講師
(來源:區塊鏈大本營)