【听杨姐说】
今天的感想,来自于一份公告!
拉卡拉昨天发布声明,称前几天拉卡拉在黑客大赛上被攻破的事,是因为该司采购了已经获得相关权威机构认证的机具——联迪A8智能POS。
没错,那天姐正好在现场。杨姐当天就给大家讲过,姐去参加的GeekPwn上海站爆出来许多令人尖叫的成果:
苹果的iPhone8被攻破,人脸识别被破解,人类声纹被复制……众多原本看起来挺牛叉的技术结果没超过20分钟就纷纷沦陷。
但是,攻破之后呢?
10月26日,沉寂了一段时间的拉卡拉公开发声(就是前文的公告),拉卡拉的机器是联迪代工,拉卡拉在自身修补漏洞的同时,责令联迪对已有设备进行漏洞修补,并且终止采购机器。
但杨姐想说的是,我们更应该思考一个问题,在盗刷信用卡已经如此泛滥的今天,对于这种信息保护有瑕疵的(凡被攻破的产品肯定是在技术上有漏洞的)产品,金融、支付行业是否应该建立一种召回制度,铺设机具的公司应该负有召回的责任?
没错,POS机这种金融设备如果出现漏洞及安全问题,应该与汽车行业一样,建立有效的召回机制,保障行业有序健康发展。
金融行业不比汽车,尤其是在今天一切都互联网化之后。汽车如果出了问题,牵涉的可能只是某一款车型,一部分消费者的财产和安全。但是POS机这种产品,却牵涉甚广,按照拉卡拉公告中称“A8目前也是市场主流终端型号之一,被众多商业银行及收单机构选用……”
这不禁让人想到,其他机构铺设的这种POS机现在漏洞还在不在?铺到哪里了? 如果消费者碰巧遇到了这种POS机,不管是谁铺设的终端,岂不都有可能中招……遭了大殃?那么损失谁来负责?
联想到汽车行业的召回制度——有瑕疵的产品,制造商应该通知销售商、售后服务单位、用户等关于相关产品缺陷的具体情况,及消除缺陷的方法。然后制造商收回产品,消除其产品缺陷——金融行业是不是更加应该借鉴这个制度?
但事情已经发生了这么多天,尽管有“众多的商业银行和收单机构选用”,我们却仍然不知道其他的机具铺设到了哪里,也没有什么其他金融机构对消费者进行安全提示。
当然,金融工具毕竟和汽车不同,后者的召回是有型的、实体化的,必须回到4S店才算;而智能工具则不同,完全可以通过在线的手段来实现。
也许有许多银行和机构早已知道了这件事情,甚至已经在后台无声无息的进行了升级,但是,国家金融监管层应该规定,白帽子提交的金融系统安全漏洞,被举报厂商必须修复(因为此前白帽子们提交网站漏洞,网站管理员是可以置之不理的)。
而此次,A8的生产厂商也该出来给大家公告声明一下,以缓解大家心里的担忧吧?
坦白地说,这或许已经不是技术问题,而是一个公关问题——你如何管理公众对你的品牌、信誉、能力等各方面的认知?
中国的智能支付行业无论从形态、规模以及发展速度上,都毫无疑问发展得非常迅猛。但此次事件也在提示我们,发展得快的同时,不仅享有荣誉也同时负有责任。更多的企业在面对企业责任的时候,应该更加坦诚以对。
一个企业是否勇于面对公众承认失误,是否敢于去承诺、担当消费者的损失,才是这个企业“品格”的体现!它出自一个品牌对用户的“真心”,而不是法律要求你出了问题必须召回你才召回。
当然,在此次事件中,还好是“白帽子”们帮厂商找出了漏洞,没有出现有消费者真的受到损失,但隐患已经在那里——正如汽车行业,并不是出了事后只召回出事的车辆,而是存在隐患型号的车辆都在召回范围内,为的就是消除隐患,保证更大多数用户的生命安全。
而如今的金融犯罪、诈骗等等违法行为如此猖獗,信用卡盗刷如此泛滥,很难保证没有其他的黑客高手进行违法攻击,会导致更多刷卡人的损失。
但在这次事件一些机构的集体失声中,除了拉卡拉因牵涉其中而公告外,我们看到的只是不那么令人愉快的沉默,令人感到担忧的沉默。
,
