百度金融被指存安全漏洞 風控亟待完善

　　百度金融被指存安全漏洞 風控亟待完善

　　近日，以金融科技公司自居的百度金融發生了用戶的账號被盜用，並成功在百度有錢花借款的事例，通過《投資者報》記者調查，出現類似情況的人並不在少數

　　《投資者報》記者 劉逸倫 高方方

　　在本月初的百度AI開發者大會上，百度高級副總裁、度小滿CEO朱光對外宣布百度金融新品牌“度小滿”正式啟用，百度金融迎來新的發展階段，但账號盜用借款事件暴露出的風控問題卻引發用戶擔憂。對於上述情況，同盾科技相關人員稱，若借貸者產生逾期行為，手機號碼關聯者也會存在征信汙點，並在央行征信系統中有所體現。對於上述提到的現象。對此，百度金融在回復《投資者報》記者採訪時僅表示，用戶在申請貸款時，有多個環節對用戶進行身份驗證，以確保是本人操作。

　　漏洞之惑

　　王達（化名）在今年年初發現了一件蹊蹺的事，從未使用過百度錢包的他，收到了“百度有錢花”的簡訊提醒。簡訊中寫著“【百度】<百度有錢花>親愛的用戶：您已開通自動還款功能，每月15日是您的還款日，本期應還款金額1210.37元。為了避免影響您的信用記錄，請於還款日早8點前確保綁定的銀行卡餘額充足，如已還款，請忽略。”

　　王達對這則簡訊內容感到震驚，隨後立即下載了百度錢包進行查驗，王達登錄账戶後發現，“用了七八年的百度账號和手機號，都被一個不認識的人實名認證了，並且綁定了她的銀行卡，用於還英孚英語的課程貸款。”在百度錢包“實名認證”頁面顯示的姓名為“趙曉月”，身份證號碼以3開頭，以X結尾，並綁定了招商銀行的儲蓄卡，卡號後四位為“0463”。

　　從還款頁面可以看到，這位名為“趙曉月”的人自2017年7月期開始使用“百度有錢花”自動還款業務已經成功還款6期，每期還款1210.37元。至王達收到還款簡訊時，“趙曉月”的待還金額還有14524.56元。

　　在這個百度账號下（百度錢包可以直接用百度账號登錄），實名認證和綁定的銀行卡資訊都是趙曉月的，但該账號綁定的手機號碼、郵箱卻是王達的。

　　王達曾經致電“百度有錢花”客服，客服稱，唯一的解決辦法是王達棄用這個账號，因為百度是以實名資訊為最高等級的（來認證）。“我很多次提醒百度的客服，跟他們說這是一個很大的安全隱患，他們都不以為意。”王達說。

　　據移動通信客服解釋，同一號碼絕不會有兩個人同時使用。有一種情況是手機號碼若長期處於不使用狀態並账戶內餘額已扣除完畢的情況下，3個月後該號碼會被回收。但被回收後，不會立即投入使用，經過半年到一年的冷凍期後，才會將該號碼重新投入市場。

　　事實上，經過《投資者報》記者調查，百度账號被盜用，他人進行貸款的情況並不是個例。如有用戶收到百度有錢花類似簡訊，但並未使用過“百度有錢花”軟體，此外，還有用戶收到百度有錢花開通账號的簡訊，但她稱自己從未注冊過“百度有錢花”借貸軟體。

　　更蹊蹺的是，有用戶近期在百度有錢花貼吧反映，一年前，其在百度有錢花借款800元，借款逾期後，他故意一直沒有接聽百度有錢花的催收電話。近日，他再登錄百度有錢花平台，原來使用的账號被注銷，有錢花業務的界面也看不到了。

　　風控待加強

　　度小滿金融，原為百度金融。2018年4月，百度宣布旗下金融服務事業群組完成拆分，並簽署融資協定，拆分後，百度金融啟用全新品牌“度小滿金融”，實現獨立運營。百度給予“度小滿金融”的基本定位就是“利用AI技術在全金融領域布局”。百度金融業務依托百度大數據、技術資源，以“金融科技”進行聯動宣傳。

　　在度小滿金融官網，度小滿金融將自身的定位表述為“金融科技公司”，具體描述為“度小滿將充分發揮百度的AI優勢和技術實力，用科技為更多人提供值得信賴的金融服務。”

　　但技術只是一種保障手段，並非絕對安全。快手CEO和創始人宿華曾說：“技術不是萬能的，人工乾預是有必要的。”這位有著Google和百度從業經驗的技術人物在歷經實踐後公開發出這樣的感慨。技術不是萬能的，甚至是有漏洞的。

　　如今中國互聯網金融企業中，一般在用戶貸前階段做“三要素”合驗，即姓名、手機號碼、身份證號碼三方對照，以確保借貸用戶是本人操作。“三要素”查驗的過程很簡單，將姓名和身份證號碼輸入，從運營商數據庫中調取綁定的手機號碼，匹配一致即為本人操作。

　　“通常手機號碼匹配資訊的業務並不是由人工來完成，而是由人工智能（AI）技術進行收集和整理。但AI技術並不能夠識別同一手機號碼所綁定額資訊是否為不同人的資訊，它將讀取的是這一號碼整個歷史全部資訊。雖然移動、聯通、電信三大運營商清除了在其平台的數據，但三大運營商並不能夠擦除該手機號碼在其他平台的綁定資訊。這就造成了前後所有使用過該手機號碼的用戶資訊都將被讀取，並統一認作現持有人的個人資訊。”業內人士稱。

　　度小滿金融的相關負責人對上述現象解釋道，“用戶在申請借款時，實名認證環節需要本人提交銀行卡資訊並輸入密碼；在貸款額度支付審核環節，申請人需要通過人臉識別的驗證，確保貸款是本人發起的申請。在教育分期的展業環節，百度有錢花將貸款支付給培訓機構時需要在此輸入密碼確認。貸款申請中用戶還會多次收到簡訊提醒。”

　　記者採訪了同盾科技的相關人員，該人士稱，這種账號錯配進行借貸的事件對於用戶還是有一定影響的。若借貸用戶發生了逾期，雖然在人行征信不會有所體現，但在一些互聯網平台的征信是有一些體現的。

　　2018年1月4日晚，央行官網宣布，中國人民銀行正式受理了百行征信有限公司（籌）的個人征信業務申請，並將相關情況予以公示。此舉標誌著開展征信業務的“信聯”誕生，“信聯”定位於建立國家基礎性信用資訊數據庫，將於央行征信中心形成有效補充。“信聯”的一大重要工作內容即是通過將互聯網借貸逾期名單補充到現有央行征信系統內，這就意味著，若個人在互聯網金融借貸平台上進行借貸發生逾期或故意不還的行為，則將會在央行征信系統中留下記錄。

責任編輯：魏雨