手机被盗后挂失被解挂,工信部约谈电信企业强化安全防护

新经济合规观察张雅婷 2020-10-20 11:54

工信部提醒用户设置SIM卡密码。

针对近日备受关注的手机丢失后个人信息和财产安全保护问题,工信部10月19日发文称,已约谈涉事电信企业,要求三家基础电信企业在服务密码重置、解挂等涉及用户身份的敏感环节强化安全防护,提醒用户及时设置SIM卡密码,在丢失手机后应第一时间挂失。

一篇名为《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》的文章在9月引发热议,文章提到不法分子偷盗个人手机后,在某政务APP窃取用户个人信息,进而申请网贷消费造成用户财产损失的情况。

21世纪经济报道此前报道,该文作者信息安全专家“老骆驼”通过四川电信客服挂失手机号后,对方通过联系电信客服进行了“解除挂失”的操作。这意味着,使用各大APP时所需的身份认证环节,极有可能被对方利用短信验证码服务通过验证。四川电信事后致歉“老骆驼”称,被黑产以“男女朋友闹矛盾”哄骗,导致反复挂失与解挂。

记者10月10日从四川电信客服处了解到,如需解除挂失,可以联系客服提供登录电信网上营业厅的密码或者机主姓名和身份证号码+上月拨打的三个通话号码进行操作。事件发生后,针对线上渠道,解除挂失业务24小时内仅能办理一次,有特殊情况需要本人持有效证件到营业厅解除挂失。

工信部表示,10月12日约谈了涉事电信企业相关负责人。据了解,用户手机被盗后未及时挂失电话卡,给不法分子留下了钻空子的空间,不法分子通过“手机号+验证码”弱验证方式获取某政务APP中用户身份证号等个人重要信息,利用用户个人信息更改了手机服务密码,利用话术欺骗诱导电信企业客服人员将已挂失的电话卡进行解挂,利用部分网贷平台“找回用户密码”漏洞重置用户支付密码骗取网贷资金,最终造成用户财产损失。

工信部要求,三家基础电信企业在服务密码重置、解挂等涉及用户身份的敏感环节,在方便用户办理业务的同时强化安全防护,加强客服人员风险防范意识培训,警惕业务异常办理行为。

此外,工信部建议相关单位和企业及时对数据进行脱敏处理,并建议相关行业按照最小必要原则收集、存储、使用用户个人信息,对已收集存储的用户个人信息分级分类妥善保存。

近日已提请十三届全国人大常委会第二十二次会议初次审议的个人信息保护法草案,也通过各项规范为公众提供更系统的法律保护。

例如,草案设专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。这对于此次事件中某政务APP的信息获取流程提出了更严格的规范。

草案还就金融交易中的个人信息保护,规定了敏感个人信息处理规则,即基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人单独同意。因此,金融支付领域的手机绑定和解绑银行卡行为需要取得个人的单独同意,进行复合验证。

对于丢失手机后的处理及保护,工信部也提醒用户及时设置SIM卡密码,在丢失手机后应第一时间挂失,强化安全风险意识。

“犯罪分子目的是手机卡,当然抹除数据或者刷机后进入原手机也是其避开支付软件风险控制策略的一个手段。苹果手机如果在可越狱的版本下,也可以通过隐藏ID的方式刷机后进入再安装APP进行操作。所以,设置SIM卡密码才是关键。”事件发生后,“老骆驼”也向公众提出了几项防护措施:给自己的手机SIM卡设置密码、给手机设置屏幕锁、确保手机锁屏状态下来短信无法看到短信验证码内容。他表示,通过这些措施就算手机丢了未能及时发现和挂失,也不用担心别人拔下卡插其他手机里继续使用。

(作者:张雅婷 编辑:曹金良)