安全之殇,交易所 KYC 泄露​再次敲响行业警钟!

本文来自微信公众号:锌链接(ID:xinlianjie-)作者:杨思佳

安全之殇,交易所 KYC 泄露​再次敲响行业警钟!近日,币安再次陷入数据泄露事件,相传是内鬼所为。随后,黑客要挟用 300 个比特币的筹码换取 1 万个 KYC 信息+内鬼消息。因没有马上拿到勒索款,该身份不明人士就通过网络泄露所掌握的信息。
数据泄露时常发生,似乎从未间断。据公开数据显示,2019 年上半年,全球出现了至少 10 起类似信息被盗事件。此次的“币安 KYC 泄露事件”,再一次将行业内的安全问题推到台前。

KYC 提升安全性可以规避机构经营风险

安全之殇,交易所 KYC 泄露​再次敲响行业警钟!

KYC (Know Your Customer,了解你的客户)来源于巴塞尔银行监管委员会在 1998 年 12 月通过的《关于防止犯罪分子利用银行系统洗钱的声明》,该声明提出金融机构在提供服务时应当对用户信息和用户画像进行采集和识别。

随后,KYC 被各国的监管机构所接受并推行,成为金融监管的一个重要程序。

国内,KYC 是反洗钱法律制度的强制性要求,是金融机构及其工作人员必须履行的法律义务。

随着互联网金融的快速发展,监管对 KYC 提出了更高要求。KYC 始于金融机构,而后渗透到各行各业,KYC 也变得愈加重要。

最常见的就是去银行办理业务,会对每位用户做尽职调查,收集客户信息;其次就是手机 APP 的实名认证,就是各个机构进行 KYC 的一个方式。

在传统金融领域,KYC 只是一个手段, 主要是为了后面的 AML (反洗钱),以及 CFT (打击恐怖主义融资)。

实行 KYC 主要有两大因素一是监管要求,保证金融安全;二是不少公司通过收集 KYC 信息形成用户画像,如果在 KYC 信息采集不完整,上层数据分析就无法顺利开展。

目前 KYC 收集方式分很多种,比较简单的是身份实名认证,即提供姓名、身份证、银行卡等信息,通过调用银联开放平台或是官方授权的身份数据库接口来进行校验。此外,还有人脸识别、活体检测等。而这些信息要么客户主动上传,要么通过其他平台进行授权获取。

然而,KYC 数据收集只是第一步,更重要的是数据核验以及数据存储。 尽管 KYC 提升了安全性,规避了机构的经营风险,但是却对用户隐私构成了威胁。

用户隐私遭受威胁

安全之殇,交易所 KYC 泄露​再次敲响行业警钟!

目前市场上惯用的 KYC 核验方式大概有三种:人工审查、调用公安授权的身份数据库或银联数据库开放的 API 接口比对、采用第三方外包针对图片数据的自动化识别。
TEEX 联合创始人余炀接受锌链接采访时候表示,不论是人工审查,还是调用 API,用户数据在整个过程中都是暴露的。 企业内部员工,甚至是一些低权限的实习生操作员,都可以轻松拿走数据。而采取外包审查形式,数据出了公司,泄漏风险无疑会变得更大,且一旦泄露,责任将难以划分。再加上数据本身极易二次拷贝和沉淀,因此一些不法分子可以非常容易地利用用户隐私数据进行牟利。不仅核验阶段数据极易泄露,存储阶段也不例外。目前一般都是采用中心化存储在服务器,部分公司甚至直接是明文存储。中心化的储存方式很脆弱,一旦遭遇攻击,信息就会全部泄露,因此对服务器的安全性要求极高。而对于 KYC 的保护,则需要付出高昂的成本。汤森路透最近的报告显示,一些金融机构每年要花费 5 亿美元来做客户尽职调查以及保证 KYC 的合规,其中人工成本占大头,其次还有硬件设备和其他费用。 站在攻击者的角度保护 KYC

安全之殇,交易所 KYC 泄露​再次敲响行业警钟!

目前,市场对于 KYC 信息最好的保护方式就是将数据的所有权和使用权进行分离,机构通过数据使用权来实现 KYC。 余炀表示从 攻击者 的角度出发,可以从两个方面保护 KYC 信息。一是防止外部黑客窃取。 具体来说,需要加固 KYC 系统的安全性,最小化软件中的潜在漏洞。二是防止内部恶意员工的信息泄露,需要机构对 KYC 信息的访问权限进行严格的管控。 TEEX 通过 TEE 技术结合 GPU-TEE 方案构建了一个可信 KYC 平台。 据余炀介绍,该平台能够将整个自动化 KYC 过程保护起来。无论是谁都无法接触到验证过程中的 KYC 信息。对于人工审核,也可以通过 可信显示技术 ,保证在将 KYC 信息显示给审核员的同时,信息本身不被窃取。同时, 对于调用第三方服务的机构则提供可信 KYC 服务调用前置机。 利用 TEE 技术,将整个调用第三方服务的逻辑进行保护,包括第三方服务身份的验证、KYC 信息的传递以及最终结果的获取。另外, 可信水印技术 能够保证信息泄露之后,准确定位泄露主体,为泄露事件发生之后的责任划分提供了技术支持。

安全之殇,交易所 KYC 泄露​再次敲响行业警钟!

基于 TEE 技术的优势 **

安全之殇,交易所 KYC 泄露​再次敲响行业警钟!

外部攻击者一般来说很难直接接触内企业内部数据,因为没有直接开放的接口。主流的攻击手段还是利用现有软件系统的漏洞,来触发一些预期外的行为,例如一些恶意提权,或是通过撞库等社会工程学方法来尝试窃取。从技术上而言没有绝对的安全,但对于一些现有攻击总能通过合理的方式去规避,例如对用户身份库做一些隔离保护,关闭网络端口,及时修补系统漏洞等,以提高攻击门槛。 相比之下,内部窃取则是一个更加棘手的问题,因为这不仅关乎技术,更是信任体系本身的崩塌。 *现在的 KYC 场景中需要人工介入,那么内部人总是可以直接访问到身份库,这带来的泄露危险不言而喻,除非对其抱有足够的信任,但事实证明并不行。TEE 从技术角度上说是一种可信执行环境,它是我们整个安全 KYC 方案中的一个技术环节。针对 KYC 这个场景,我们会结合 TEE、密码学以及一些系统方法,去构造一个完备的 KYC 系统,从而真正将信任从企业转嫁到代码本身,让数据对内外部均不可见,来达到一个更高的隐私性。 *结语

安全之殇,交易所 KYC 泄露​再次敲响行业警钟!

TEEX 作为一个专注于数据隐私安全的平台, 有着最专业的 TEE 研究和开发经验,团队成员由来自海内外名校,在科研和创业方面有着丰富的经验的教授、博士以及曾任职于顶尖互联网企业的精英组成。核心团队经过多年的技术积累已经与包括人工智能、大数据计算、生物医疗、区块链等领域的伙伴展开了深度合作。接下来,TEEX 将更多地与交易所达成合作,为用户提供全面的数据安全保障。

更多信息,请访问 TEEX 官网

https://teex.io

合作联系:

contact@teex.io

TEEX 官方渠道:

Reddit:

https://www.reddit.com/r/teexofficial/

Telegram:

https://t.me/teexio

Twitter:

https://twitter.com/teexio

Medium:

https://medium.com/@teexofficial

微信公众号:

teexio

安全之殇,交易所 KYC 泄露​再次敲响行业警钟!安全之殇,交易所 KYC 泄露​再次敲响行业警钟!安全之殇,交易所 KYC 泄露​再次敲响行业警钟!

Unite the world's trusted computing power

Construct a trusted data ecosystem

— 扫码关注 —

安全之殇,交易所 KYC 泄露​再次敲响行业警钟!

来源链接:mp.weixin.qq.com