E书天空-电子书下载,电子书发布,资讯中心-建行网银不安全，安装了不可导出的数字证书仍被偷4万多,没人管

　　6月23日中午登陆建行网上银行，发现密码不对，无法登陆网银，经过电话95533查询得知我建行网银帐户下挂的两张龙卡中的资金已经在6月16日，17日，18日三天通过建行内部转帐和通过淘宝网以及腾讯网消费等途径转走，共计损失42819.94元。
　　　　
　　我本身就是搞IT的，加之去年使用的工行的网银曾经被盗窃过一次，那时候使用的是工行大众版网银，没有证书，事后发现被一种叫灰鸽子的木马盗取了帐户和密码，从那以后我对电脑安全问题特别是网银的安全加倍的重视，在机器上安装了病毒防火墙，并且一直都更新到最新的病毒库，经常升级windows和IE的系统补丁；上各类网站的时候也十分小心，不胡乱下载不明软件，并且购买了工行的U盾和兴业银行的U盾。
　　　　
　　后来在2006年5月10日我又在长寿路建行普陀支行签约了建行的专业版网银，那时候建行还没有usb key卖，所以回家后立即上建行网站下载并安装了建行的数字证书，数字证书安装有可导出安装和不可导出安装两种安装方式，倘若采用不可导出安装方式安装数字证书的话，那么证书将无法备份到硬盘或其他设备，理应只有在我本机才能进行网银的转账支付等操作；为了确保安全，我采用了不可导出的数字证书安装方式。
　　　　
　　2007年4月14日，我去建行办事的时候发现建行已经推出新的USB KEY，为了确保网银安全，花75元买了一个，那时候银行并没有给我的usb key捆绑网银的客户号，回家后我看说明书，却根本无法根据说明书所说的操作导出私钥备份到硬盘，想起我当时选用的是不可导出安装方式安装的数字证书，虽然USB KEY白买了，但是确定了只有我这台电脑能进行转帐，安全还是有保障的，也就没有计较。
　　　　
　　2007年6月23号，我发现网上银行下挂的两个帐户里的近4万3千元不翼而飞，经查询得知与16号，17号，18号三天被建行转账和淘宝和腾讯消费掉了，其中4532********0018的信用卡帐户被消费和转账共26笔共计34917.44元；622***********1343帐户被消费6笔共计7902.5元，共给我造成42819.94元的损失。
　　　　
　　后我在网上看到中国金融认证中心CFCA的曹小青副总经理说过倘若使用数字证书的网银用户被盗，CFCA承诺向客户赔偿2到80万元人民币，我向CFCA问及关于曹小青副总经理曾经承诺过装有数字证书的网银被盗的赔偿问题，CFCA告诉我建行只有企业版的网银证书是他们提供的，个人版的网银数字证书不是他们提供的，与他们无关。(顺便说一下，CFCA也就是中国金融认证中心是一个权威的、可信赖的、公正的第三方安全认证机构,也是金融行业唯一合法的第三方安全认证机构。)
　　　　
　　　　
　　以下是我在网上搜索到的一些资料，数字证书理应由第三方提供，以确保能明确责任的归属，建行显然违背了这一条，现在建行使用的个人专业版网银数字证书并没有得到最权威的证书认证机构CFCA的认证，他们对客户所称的数字证书领先的技术能力和安全性只是建行的自我吹嘘的广告。

http://soft.yesky.com/security/aqzxx/29/2082529.shtml
************************************************************
　　依据6月30日由央行制定的完成意见征集的《电子支付指引(征求意见稿)》的第四十五、四十六条中规定:“使用数字证书和电子签名等作为安全认证方式”和“因转发人或银行原因造成客户安全认证数据被盗”两种情况，银行将承担相关责任。在没有直接责任的情况下，银行只被要求“积极配合客户查找原因，尽量减少客户的损失”。简单地说，“使用数字证书和电子签名等作为安全认证方式”的就是指专业版用户。客户使用网上银行专业版进行网上购物，发生的账户盗用损失由银行买单;而“非使用数字证书和电子签名等作为安全认证方式”的即指大众版用户。客户使用网上银行大众版进行网上购物，只要银行系统不存在问题，无法追回的账户盗用损失由客户自己承担。而“非资金所有人盗取他人存取工具发出电子支付指令，并且其身份认证和交易授权通过了发起行或转发人的安全程序，发起行或转发人对该指令进行处理所产生的后果不承担责任。”此外，如果该数字证书由合法的第三方认证服务机构提供，且第三方认证服务机构不能证明自己无过错的，将由其承担相应责任。
　　　　
　　目前，绝大多数银行的专业版网上银行都使用了由中国金融认证中心颁发的数字证书，以保证认证的第三方性，为一旦发生网上交易纠纷时依法进行仲裁提供有效的证据。
*****************************************************************************************************

　　2007年6月23日案发当天下午我立即在网银开户所在地上海普陀区长寿派出所报案，报案编号为：2007136254514713124* ，当天下午建行电子银行部的领导和客户经理很重视，亲自来我家了解情况，他们开始怀疑我的电脑中了病毒或者木马，我向他们说明我已经安装了不可导出的数字证书和病毒防火墙，也及时升级了最新的病毒库，倘若是灰鸽子之类的危害极强的病毒防火墙是能及时发现的，并且转账时间多发生在凌晨我已经关机睡觉的时候，所以对方不可能远程操控我的电脑进行转帐，如果数字证书安全的话对方不可能盗取到我的资金。当然我知道没有绝对的安全，我当然也无法完全排除有黑客攻击侵入我的电脑，或者给我的电脑下了防火墙无法查杀的病毒，故当时也没法下确定的结论。但是从一个普通网银用户出发，我觉得我已经做了所有我能做的安全防范措施。数字证书等证据都在我的电脑中，对方的转账日志我这里也有备份，我电脑中的系统日志也都有保留，能证明对方对网银进行转账的时候我早已关机了，只是取证可能比较困难，需要电脑方面的专家认定才行。
　　　　
　　因为被窃的金额对我来说比较巨大，要等米下锅，警方破案可能也不能在短期内完成，事实上在报案后大约2周左右，警方都还没有找建行开始案件的调查工作，我从报案的派出所得知案件被上报至刑侦9队的电话，但是连续多日刑侦队电话始终无人接听，并且案件受理回执单上的市局警务监督督察的电话也始终无人接听，眼见破案遥遥无期，所以我致电95533向建行要求先行垫付我的损失，被95533以没有垫付先例拒绝，联系到建行电子银行部的客户经理，客户经理也说没有先例，不好办理。他们现在的口径统一是须等警方破案后方能确定责任归属，但是万一破不了案呢？照目前的趋势很可能该案件不了了之，客户的损失没人管。
　　　　
　　迫不得已只要走司法途径向建行索赔，但是从朋友处得知起诉建行可能面临几个比较麻烦的问题，譬如民事要让步于刑事，举证困难，标的比较小难度比较大，未必有多少律师肯接等等。
　　　　
　　所以寻求热心律师帮助，非常感谢。
　　　　
　　顺便说一点题外话，听说今年5月开始，新签约建行网银的客户都被强制要求购买建行的usb key，也就意味着网页版数字证书实际上已经被淘汰，是否建行已经知道数字证书不安全？还是另有隐情？我们用户不得而知，但是对以前使用数字证书的老客户，建行是否应该负责到底呢？
　　
　　------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
　　
　　董国喆
　　观点一：不反对推行电子证书。但如果个别银行的证书不能够确保用户的帐户和资金安全，那早晚是要出问题的。其实，某些银行与CFCA之间存在着利益的争夺。我个人还是看好CFCA或类似的第三方认证机构，因为他们是保持中立的，在技术和安全保障方面值得依赖，特别是CFCA真正地承诺--如果给用户造成损失，自己负责赔偿。如果是银行自己搞的证书，出了问题难免要怪到用户身上，反正中国的老百姓被欺负得已经习惯了，受了损失得不到赔偿的事情已经不少了，哭诉也无门。
　　　　
　　观点二：咱们的银行应该为用户减少一些负担，放弃一些眼前的利益并非就一定“亏”。如果让更多的用户使用上了证书，大家的利益有了保障，各种网上交易、转帐就会频繁起来，银行柜台的压力也小了，收益也大幅度提高了。为什么没有一家银行能够做得更好一些，即使是让用户先使用，一年后再扣费也可以，用户使用之后感觉良好，自然会有更多的人使用证书了。
　　　　
　　国内的银行，现在都“商业”了，但是商业得还不够，高高在上不说，各种收费的门槛把很多用户给挡在了门外。什么时候“商业”少一点，更像是“人民银行”呢？做商人追求商业利益无可厚非，但是目前的情况是，个人网上银行业务基本上还是一块盐碱地。经商也要讲点策略，与其赤裸裸地向用户收钱，不如先治理盐碱地，播上种，施上肥，才能够在秋后有所收成。

关于本站 - 下载声明 - E书发布 - 下载帮助 - 广告联系 - 商业合作 - 申请链接 - 用户注册
E书天空版权所有 Copyright © 2005-2020 ebooksky.com. All Rights Reserved . 闽ICP备08100302号地址：福建省福州市福飞路104号邮编：350003 联系人:吴生友 QQ:14476087 电子书发烧友Q群：17648598 E-mail:wsy515398@vip.sina.com(邮件请用汉字注明主题如果没收到自动回复，邮件可能没发送成功!)