光大银行系统安全漏洞，客户存款86万“不翼而飞”，技术之殇还是制度BUG？

　　随着科技的不断发展，各种新型产品和服务层出不穷，给人们的生活带来了诸多便利和乐趣。但科技的进步带给人们的也不都是喜悦和幸福，有时候还有烦恼和痛苦。

　　2021年8月，沈阳一位年过六旬的老人将自己的86万元积蓄存入了光大银行，随后这些存款在短短的8天时间内，86万存款就被不法分子利用光大银行系统的漏洞轻易的转移到了境外。在没有交易密码，没有短信验证码的情况下，存款是如何被盗走的?储户及其家人百思不得其解。只到储户家人查询了登录设备，发现盗刷者是通过指纹登录了手机银行账户，又以指纹支付的方式，将存款盗刷。光大银行系统的人脸识别形同虚设、而指纹识别竟然只需要手机用户的指纹就可以转账交易，技术的便利应该是以安全为前提，如果是没有安全的便利，那便利也就失去了意义。

　　储户家人查询了该账户的近期登录设备及IP地址，记录显示在很短的时间内，盗刷者在北京和广州的两个IP地址下，在一台OPPO手机上通过指纹登录了银行账户，随后又以指纹支付的方式完成了多笔大额转账。如此反常且危险的操作，银行系统竟然没有异常警报。

　　正常情况下，在光大银行手机端进行转账时需要交易密码和短信验证码进行双重验证。如果开通了指纹支付，仅需要交易密码和指纹就可以完成交易，同时还可以将转账限额修改为50万元。

　　为了进一步了解情况，储户的家人对光大银行的转账系统进行了测试，首先在他的手机设备上登录储户本人的银行账户，输入交易密码后到了验证指纹的环节。储户家人竟然用自己的指纹，将储户本人账户的存款成功转出。这说明如果盗刷者掌握了对方的交易密码，就可以在自己的手机设备上使用自己的指纹，轻易的将其他用户的存款盗走。与此同时，储户提供的一份与光大银行客服对话录音显示，用户开通指纹支付后，交易时验证比对的指纹是手机机主的指纹，并非是卡主的指纹。

　　“在银行网点开卡时中有录入指纹的环节，但在手机端登录和转账时查验的指纹却来自手机系统，并非是银行系统。”储户认为光大银行转账系统存在漏洞，在进行指纹认证程序时，银行没有尽到自己的责任，而是将核实指纹真伪的权力交到了手机厂商的手中。通过手机银行操作转账，需要验证的指纹却是录到手机里的指纹，不是银行终端的指纹，难道手机银行的主体不是银行而是手机厂商吗?

　　笔者随手在网上搜索“光大银行盗刷”的关键词，发现此类报道和信息并非一起两起，关于光大银行的系统安全问题，早在2016年就已经有媒体报道过。因为银行系统给储户造成财产损失，6年的时间完全可以修复漏洞，那为何6年来盗刷案件持续发生而光大银行却视而不见呢?

　　我想原因无非以下几点：

　　光大银行主观上认为这是个小问题，无关紧要。

　　光大银行主观上认为这是个大问题，但是客观上解决不了。

　　光大银行主客观上都不觉得这是个问题。

　　光大银行故意不修复漏洞，因为对银行有好处。

　　无论是以上哪一种原因，光大银行系统漏洞的持续恶化都给许多储户带来了实际的损伤的同时，也将所有客户的账户资金都置于危险之中，每一个客户都有可能一觉醒来，账户里的存款“不翼而飞”。

　　银行利用新技术本意是为了方便用户，提升服务质量与管理效率。但是技术的应用还应该以相应的制度为基础，不能出了问题把所有的责任都推给科学技术，技术的漏洞表面上看是靠技术来修复，本质上还是要靠制度建设来完善，技术上有BUG不可怕，可怕的是光大银行的制度有BUG，那就该让所有的客户不寒而栗了。