近日,幣安再次陷入資料洩露事件,相傳是內鬼所為。隨後,駭客要挾用300個比特幣的籌碼換取1萬個KYC資訊+內鬼訊息。因沒有馬上拿到勒索款,該身份不明人士就透過網路洩露所掌握的資訊。
資料洩露時常發生,似乎從未間斷。據公開資料顯示,2019年上半年,全球出現了至少10起類似資訊被盜事件。
此次的“幣安KYC洩露事件”,再一次將行業內的安全問題推到臺前。
KYC提升安全性,可以規避機構經營風險
KYC(Know Your Customer,瞭解你的客戶)來源於巴塞爾銀行監管委員會在1998年12月透過的《關於防止犯罪分子利用銀行系統洗錢的宣告》,該宣告提出金融機構在提供服務時應當對使用者資訊和使用者畫像進行採集和識別。
隨後,KYC被各國的監管機構所接受並推行,成為金融監管的一個重要程式。
國內,KYC是反洗錢法律制度的強制性要求,是金融機構及其工作人員必須履行的法律義務。
隨著網際網路金融的快速發展,監管對KYC提出了更高要求。KYC始於金融機構,而後滲透到各行各業,KYC也變得愈加重要。
最常見的就是去銀行辦理業務,會對每位使用者做盡職調查,收集客戶資訊;其次就是手機APP的實名認證,就是各個機構進行KYC的一個方式。
之所以進行KYC,一方面是監管要求;另一方面透過手機KYC資訊形成使用者畫像。
趣鏈科技北京分公司副總張貝龍在接受媒體採訪時說道,在傳統金融領域,KYC只是一個手段,主要是為了後面的AML(反洗錢),以及CFT(打擊恐怖主義融資)。
溪塔科技市場總監孔慶陽表示,之所以實行KYC,一方面是監管要求,保證金融安全;其次,不少公司透過收集KYC資訊形成使用者畫像,如果在KYC資訊採集不完整,上層資料分析就無法順利開展。
據瞭解,目前KYC收集方式分很多種,比較簡單的是身份實名認證,即提供姓名、身份證、銀行卡等資訊,透過呼叫銀聯開放平臺或是官方授權的身份資料庫介面來進行校驗。此外,還有人臉識別、活體檢測等。而這些資訊要麼客戶主動上傳,要麼透過其他平臺進行授權獲取。
然而,KYC資料收集只是第一步,更重要的是資料核驗以及資料儲存。PlatON創始人孫立林表示,儘管KYC提升了安全性,規避了機構的經營風險,但是卻對使用者隱私構成了威脅。
使用者隱私遭受威脅
據悉,目前市場上慣用的KYC核驗方式大概有三種:人工、呼叫公安的身份資料庫或銀聯資料庫開放的API介面比對、外包。
TEEX聯合創始人餘煬告訴我們,不論是人工審查,還是呼叫API,使用者資料在整個過程中都是暴露的。企業內部員工,甚至是一些低許可權的實習生操作員,都可以輕鬆拿走資料。
而採取外包審查形式,資料出了公司,洩漏風險無疑會變得更大。再加上資料本身極易二次複製和沉澱,因此一些不法分子可以非常容易地利用使用者隱私資料進行牟利。
不僅核驗階段資料極易洩露,儲存階段也不例外。據瞭解,目前一般都是採用中心化儲存在伺服器,部分公司甚至直接是明文儲存。
中心化的儲存方式很脆弱,一旦遭遇攻擊,資訊就會全部洩露,因此對伺服器的安全性要求極高。
而對於KYC的保護,則需要付出高昂的成本。湯森路透最近的報告顯示,一些金融機構每年要花費5億美元來做客戶盡職調查以及保證KYC的合規,其中人工成本佔大頭,其次還有硬體裝置和其他費用。
站在攻擊者的角度保護KYC
目前,市場對於KYC資訊最好的保護方式就是將資料的所有權和使用權進行分離,機構透過資料使用權來實現KYC。
餘煬告知我們,從攻擊者的角度出發,可以從兩個方面保護KYC資訊。一是防止外部駭客竊取。具體來說,需要加固KYC系統的安全性,最小化軟體中的潛在漏洞。二是防止內部惡意員工的資訊洩露,需要機構對KYC資訊的訪問許可權進行嚴格的管控。
TEEX透過TEE技術結合GPU-TEE方案構建了一個可信KYC平臺。據餘煬介紹,該平臺能夠將整個自動化KYC過程保護起來。無論是誰都無法接觸到驗證過程中的KYC資訊。對於人工稽覈,也可以透過可信顯示技術,保證在將KYC資訊顯示給稽覈員的同時,資訊本身不被竊取。
同時,對於呼叫第三方服務的機構則提供可信KYC服務呼叫前置機。利用TEE技術,將整個呼叫第三方服務的邏輯進行保護,包括第三方服務身份的驗證、KYC資訊的傳遞以及最終結果的獲取。
另外,可信水印技術能夠保證資訊洩露之後,準確定位洩露主體。
可信KYC稽覈平臺 TEEX提供
PlatON則使用隱私計算,既能驗證身份又能保護隱私的。據孫立林介紹,隱私計算主要採用多方安全計算(MPC),完全透過密碼學的技術手段,在保護資料不被轉移不被披露的情況下,還能計算並得到正確結果。
但TEE的硬體裝置成本較高,再加上使用者接受度方面的問題,可能在商業銀行乃至網際網路金融領域,都不是一個比較好的應用點,更適合於數字貨幣領域。據張貝龍介紹,而純密碼學是一件非常“烏托邦”的事情,目前大規模商用還存在問題,也難以解決KYC難題。
趣鏈科技則採用“密碼學+工程學”並行的方式推出BitXMesh。
技術詳解 趣鏈科技提供
張貝龍還介紹道,BitXMesh使用智慧合約控制資料使用許可權並且僅在L1層中傳輸資料模型,把如KYC資訊等大量資料存放在L2層,從而實現“資料可用不可見”,控制資料交易,進而在資料隱私與資料共享中找尋更合適的平衡點。該產品目前主要用於不同銀行間黑名單資料的共享。
技術還需不斷完善,新的商業模式正在醞釀。區塊鏈技術有去中心化、可追溯、不可篡改等特性,或許能為KYC帶來新的發展空間。
根據餘煬總結,目前KYC都是依靠中心化機構去實現的。區塊鏈獨特的去中心化信任體系,能夠搭建一個公開的信任網路,讓資料共享更可信。
孔慶陽則表示,區塊鏈技術是一個構建信用體系的工具,做訪問控制和存證,能夠追溯到資料使用的全流程,對KYC起到一個監管的作用,但可能需要政府部門、監管機構和科技公司三方的介入來共同維護。
此外,區塊鏈是可以幫助搭建統一的數字身份,來解決不同國家KYC標準和審查機制的差異。
資料只有流通起來才會發揮最大價值,不管是對機構還是使用者,保護KYC資料不被洩露的同時實現共享是趨勢也是目標。
