數位時代的身份竊賊 (Identity Theft)

Rex — 有互聯網思維的科幻愛好者

筆者由於工作關係，不時會接觸到客人的個人資料，包括身份證、護照和住址證明之類的敏感資料。為了遵守法規，基本上所有金融相關產品以至支付工具也會要求用戶完成KYC認證，就是那種叫你拿著身份證進行自拍的流程。

可能很多人都會有幻想，會不會有那些白滑靚女出浴自拍KYC，筆者可以很負責任地告訴你:「沒有！沒有！沒有！」

更多的情況是，一些很古怪的KYC請求。

正如前文所說，很多金融產品都會以不同名義要求客戶用行KYC以遵守林林種種的反洗錢法規。筆者沒有深究那些奇怪照片的來源，但基本上可以肯定原本不是用來驗證我們的服務，很可能是一些來自第三方平台收集回來的身份數據。

筆者任職過的公司，都有很嚴謹地保障客戶的私穩，比如在CMS加入很多 Access Log去紀錄後台有沒有奇怪的訪問紀錄。然而大部分私穩泄漏，其實並不是出現在企業都很重視的儲存環節，而更多是客戶第一手上載資料的渠道。以往筆者就試過因為在某個股票APP上無法完成驗證，需要聯絡客服做人手認證，客服竟然直接要求我把個人私隱直接以附件形式上傳。

這代表甚麼？

這代表客服系統內的每一個「經手」的客服代理都可以閱讀你的個人資料。縱觀坊間上的幾個CRM系統，即使最完善的 Zendesk 也鮮有 Ticket的查閱紀錄，換句話說就是系統內假如有立心不良的Agent 或者說有Agent 的帳號被駭，那些「作惡者」就可以不動聲色的將你的個人資料下載下來，而且基本上無跡可尋。當然，假如由一開始從收集資料的渠道做好權級管理就能減少99%的問題，但事實是你真的不能預期客戶到底用甚麼古怪方式把自己最寶貴的私隱曝露出去。

到底這些個人資料可以用來甚麼，筆者可以告訴你：

99%的金融產品，你去給客服們一張身份證自拍，加上一點點的Social Engineering，客服可以幫你把那個人的帳號脫光光。

上至重置密碼，下至授權付款，99%的企業都沒有防禦機制去抵禦數位時代的「身份竊賊」(Identity Theft)。市場上的金融產品，保護機制不外乎:

1. KYC
2. SMS/ EMAIL 之類的2FA 認證

看似是兩個機制，然而這種保護機制某程度上是無效的，特別是你的身份已經被泄漏的時候，基本上黑客可以使用盜取回來的KYC 資料去重置帳戶的2FA，假如你沒有留意那些經常被忽略的Notification Email，帳戶內的資產真的就一去不復反了。

淘寶上5元一個月的Netflix 帳號，除了無限申請Debit Card 類的Free Trial Spam，很多就是這種「另類」身份數據產生的「黑產」，詳細來說就是盜取你的PAYPAL 或者各式各樣的支付平台後援權這類訂閱服務。除了直接盜取你的帳號，筆者也在Hansa Market (暗網上的淘寶) 見過銷售完整KYC資料的賣家，大約1美元到5美元一套，視乎資料的完整程度和銷售次數(比如第一手數據會比賣過幾次的數據更貴)，這些資料也很多時候用來申請不同的金融產品，很多人的個人資料不知不覺成了別人的洗黑錢工具。

很明顯的是，市場上做身份訪問控制的SAAS 還沒有得到足夠的重視，市場也未在私隱保障上得到足夠的教訓，無論是企業投入的資源，還是大部分企業的SOP 也未有考慮完整保護客戶的私隱，這也將會是大部分企業未來幾年將會面臨的重大問題。