- 论坛徽章:
- 0
|
上海银监局领导,您好:
我是上海建设银行的客户,使用建行的网银已经超过3年,在2006年5月20日在上海建行长寿路普陀支行申请了网上银行服务,第二次成为建行网银的签约用户,当天我申请证书的时候该行还没有USB Key卖,因为我以前没安装数字证书的工行网银曾经被盗窃过,所以对网银安全比较重视,回家后就上建行网站下载了数字证书,并且安装的时候根据建行的安装提示设置为证书不可导出,这样的话理应除了我这台电脑,其他电脑就应该都不能使用网上转帐功能了。 (附安装图片,我是以不可导出方式安装)
2007年4月14日,去建行办事的时候发现建行已经推出USB KEY,于是我花了75元买了一个,回家后却根本无法根据说明书的操作导出私钥,想起我当时选用的是不可导出安装方式,USB KEY白买了。 (后来得知建行5月份推出了新版本的usb key,用新的usb key旧的证书即作废,需要重新下载新证书,推出新key后建行并没有以任何方式提醒通知老key用户升级或者更换,倘若及时得到通知重新签约网银,或许我的资金也不会被盗。另我事后得知建行网银签约老用户购买usb key可以半价优惠,但是我购买的时候柜台人员却没有给我说有此规定,建行对待客户的诚信有问题)
2007年6月23号,我发现网上银行下挂的两个帐户里的约4万3千元不翼而飞,经查询详细日志得知与16号,17号,18号三天通过建行行内转账和淘宝和腾讯被消费掉了。事后我咨询过中国金融中心CFCA,向他们问及曹小青副总经理曾经允诺过倘若装有数字证书的网银被盗的赔偿问题,CFCA告诉我建行只有企业版的网银证书是他们提供的,个人版的网银证书不是他们提供的,与他们无关。一直听到建行口口声声说他们的网银技术先进安全,原来都只是王婆卖瓜自卖自夸而已,并没有通过CFCA的认证。我后来又咨询过信息产业部电子认证管理办公室,向他们咨询关于建行的文件数字证书的情况,被告知建行的文件数字证书并没有得到信息产业部的行政许可,换句话说,属于非法产品。
2007年6月23日下午我立即在网银开户所在地上海普陀区长寿派出所报案,我的电脑经常升级IE和系统补丁,也安装了病毒防火墙,升级到最新版的病毒库,并且安装了数字证书,为了确保安全已经设为不可导出方式安装。电脑在我的卧室床边,我家中除我没有人会使用我的电脑。我也是搞IT的,我确信如此被盗理论上只存在3个可能:
第一:远程控制我的电脑转账,但是我事后查过转账日志,转账的时间有凌晨2,3点和5,6点的,那时候我早就关机睡觉了,既然没开机也就不可能通过远程控制我的电脑转账。更何况如果是远程控制我的电脑转账,那么从网银的登陆IP也应该可以查出来的。所以这种可能可以排除。
第二:银行内部作案,银行掌握有用户的一切资料,如果内部员工作案,那自然防不胜防。如果是这样的话用户是无能为力的。
第三:犯罪分子通过木马盗取了我的账号和密码还有数字证书。虽然杀毒软件没有发现病毒,但是我知道不能完全排除中木马没有被查出来的可能。但问题是盗取账号和密码也许有可能,数字证书是用建行的算法加密在硬盘上的,已设置为无法导出,理应只有我本机可以转账,对方即使盗取我的账号和密码应该也不能转账支付才对。倘若是这种可能的话,那么建行数字证书的安全性就要大打折扣了。建行也有夸大数字证书安全性,误导用户的嫌疑。
以上后两种可能,银行都负有不可推卸的责任,现在案子已经转到上海普陀分局刑侦9队处理。银行为什么不能用他们的影响力和技术实力推动警方破案呢?或者协助用户查清资金被盗的真相呢?毕竟这事关建行网银是否真的有漏洞,关系到可能存在的无数潜在受害者的资金安全。事后我查阅过电子签名法,建行也有义务这么做。
并且我想,如果这事就这么下去,警方查案不力,银行也不管,然后更多的用户资金被窃,更多的人对银行和警方也再不信任,这样下去是个三输的结局,事实上今年近几个月建行网银被窃的真的很多,我被盗后上网求助的时候就有不少同病相怜的朋友安慰过我,6月底还有个上海建行网银丢失1万6千元的,7月初还有个也是上海建行网银,丢失2万元,和我一样苦苦等待警方的结果,但是也许永远不会有结果,不查案哪来的结果?时间一长有利证据都会丢失了。
我事后还得到一些消息,上海建行从今年5月1号开始已经淘汰了以前的文件数字证书和以前发售的usb key证书,新签约的网银用户必须购买新一代版本的usb key,但是为什么停止旧有数字证书使用并没有向用户作出合理的解释,是否是因为以前的文件证书有安全隐患也不得而知,也没有对以前的文件证书用户采取任何补救措施. 没有用任何手段通知用户升级。
并且从5月1号开始,建行调整了支付宝等商家的网上支付额度,把文件证书和4月20号以前发售的usb key证书的支付额度大大降低,从5万元每天调低到1万元每天。并且从7月起再次调低腾讯等商家的网上支付额度,从每天1万调低到每天1千。也没有给用户一个比较合理的解释为什么这么做, 是否文件证书和4月20号之前发售的usb key证书存在安全隐患,是否使用数字证书的用户和4月20号之前发售的usb key的用户发生大面积的网银被窃事件。
最新消息,建行于9月1日再次调低了数字证书的支付宝的消费额度,从每天1万元调低到每天1千元,看来数字证书即将被淘汰已经是不可逆转的事实了。
并且从银行得知我的资金被转帐后已经在异地被提现,现在普遍使用含有芯片的二代身份证,具有很强的防复制功能,窃取我资金的帐户倘若是使用假身份证或者他人的身份证开户,银行有没有认真验证用户信息,对此造成的后果是否银行也应承担相关责任?
我认为银行在以下几个方面做法欠妥:
第一,不使用第三方的数字证书,违反了电子签名法。银行的身份既是运动员,也是裁判员,对客户有失公平,倘若使用安全的CFCA的数字证书,也许我不会被盗,即使被盗,CFCA也有赔偿承诺,建行没有对数字证书用户没有任何承诺。
第二,给客户使用不安全的产品,并且没有及时通知提示客户升级或者更新新产品。 如果不可导出的数字证书真的如他们所说只能在我此台电脑转账,我的网银不可能失窃。
一年之内先后使用三种版本的数字证书,感觉就是把用户当作小白鼠、试验品来折腾。涉及到资金安全的金融产品在推出前一定更要加倍的小心测试,倘若在日后发现漏洞更应该及时的提醒还在使用该产品的用户注意防范或者升级更新产品,微软在这方面做出了很好的表率,没有绝对安全的产品,但是可以有及时亡羊补牢、及时警示客户注意安全、第一时间为客户提供补丁的负责任的态度,建行最欠缺的恰恰是这一点,客户在他们眼中是什么?客户的资金安全在他们眼中又算什么?
第三,对用户及其不负责任,屡次更换新的安全产品,但是对还在使用老产品的用户都没有及时通知提示。多次调低某些数字证书的支付额度,也不给用户任何解释和说明为什么这么做。这次我被盗事件真相还没有查清,但是照目前的情况看极有可能是建行网银系统安全问题,但是建行仍旧不闻不问,用户无法推动警方破案。建行的力量相比要大得多,并且是关系产品安全,此事建行理应负起更大的责任,积极配合警方尽快破案,查出事情真相,倘若确实是建行网银系统的安全性问题,应该要及时补上漏洞才对,很遗憾我没有看到建行的行动。
第四,案发后因为建行的不作为,我和律师收集证据准备起诉建行,但是建行不肯给我们提供我的网银的转账消费的电子签名记录,也不给我们数字证书安装记录。同样这违反了电子签名法。
最近还有很多各地建行网银的受害用户联系过我,都是今年建行网银被盗的,希望银监局领导与建行核实事实后能够请建行给受损失的用户一个说法,以维护他们即将上市的四大国有银行的正面形象。
上海建行用户 XX |
|
免费注册
楼主: fmilan
发表于 2007-10-31 13:20
