北青报记者在百度、谷歌、搜狗等多个搜索网站输入“手持身份证”,并选择“图片”类型,搜索结果均出现大量真人手持身份证照片,据统计至少有上百人;而这些照片可以轻易被下载、保存。
“手持身份证”照片的形式多为露脸的真人在后,手持身份证在前,身份证正面朝前,以证实身份证为本人。北青报记者点开照片发现,在这些照片中,多数结果是清晰、无水印的证件,他们的姓名、生日、身份证号码及相片都可以直接被看到;还有一小部分为网站的示例照,身份证上的关键信息被马赛克模糊处理,有的真人眼睛部分被打马赛克,还有的在照片中间写上了大大的“范例”二字。
追访
有网友表示“现在很多机构或APP注册都需要手持身份证照片,很难避免泄露”;有网友表示同意称,“不是我们要上传,而是一些网店之类的要开通必须这样弄,要不不让开,我们也是被逼的”;还有的说“考试报名、拿快递、住酒店,身份证信息还不是一下子就暴露了,谁知道他们有没有泄露”。
这些手持身份证照片能干吗?
据央视报道,合肥一市民胡女士就在网上看到了自己手持身份证的照片,且身份证信息很清晰。她回忆道,自己曾在网上注册一款借贷软件时,按照平台方要求拍摄“手持身份证照片”,并上传到平台。当时认为平台肯定会保护自己的隐私,但现在却被泄露,她担心自己的身份证信息泄露会被不法分子利用,便向平台求助。可平台客服答复“平台方不可能泄露客户的隐私信息,可能是客户在上传照片的过程中,发生的隐私泄露,也有可能是黑客侵入了胡女士的电脑、手机,获取了存储在里面的照片。”
胡女士的担心并非空穴来风,猎豹安全专家李铁军向北青报记者表示,“手持身份证照片泄露,就可能有人冒用身份去干不法的事情。比如伪造身份证,比如在某些支付平台注册账号冒名贷款、甚至洗钱。”
看法
身份证照片泄露谁之过?
那么在这些搜索引擎上出现的照片是搜索引擎之过吗?一位工程师向北青报记者解释称,这种观点并不正确。他称,搜索引擎抓取网站信息是根据“网络爬虫排除标准”协议来抓取网络上公开内容的,网站通过该协议告诉搜索引擎哪些页面可以抓取,哪些不能。通常,可以被搜索引擎抓取到的都是未经加密的内容,而安全级别较高的网站,比如淘宝网的店主注册信息,一般都是不会被泄露的。可以说,如果是源网站未经加密直接被抓取内容,那主要责任是在源网站的。不过,有的信息会被搜索引擎留存,即使原网页删除,还是可以在搜索网站被找到。
但源网站泄露并非唯一的数据源,猎豹移动安全专家李铁军表示,除了某些网站因为保密措施不当之外,还有一些是用户使用相册不当而泄露的。例如有些用户的网盘数据设置为“可共享”,那么就很容易被侵入;或是当手机感染了病毒,手机相册里的照片也很容易被黑客调取。
提示
手持身份证照片不能随便拍
李铁军表示,其实“手持身份证”拍照,本身就是一种有缺陷的实名认证方法,比如PS的身份证也能通过。而大部分网站只是简单地验证了身份证号是不是合法的,一些有比对照片,但如果是精心修改的还是可以骗过去。
文/本报记者温婧
虚拟运营商纵容手持身份证照片开户
大部分170、171号都已实名
经销商用他人身份证批量绑卡
原虚拟运营商从业人员唐先生告诉记者,虚拟运营商自营的这部分业务做的应该是比较合规的,但是在经销商这一块,就可能会存在监管不到位。唐先生说,每一个销售网点都会有一些用户的信息,这些信息会用来统一为用户进行开卡,然后把这些号码放到各个分销门店去。
另一位不愿公开身份的虚拟运营商从业者也向记者证实了这种操作手法。他告诉记者,移动电信联通对虚拟运营商有发展用户的指标考核和排名,如果发展不好将影响虚拟运营商从基础电信运营商那里拿到更多更好的号码资源,这就导致了虚拟运营商在竞争过程中会默许甚至放任经销商的违规“养卡”行为。
虚拟运营商业内人士张先生告诉记者,“用户的激活率如果达不到基础运营商规定的标准的话,那么虚拟运营商就拿不到更多的卡。他(虚拟运营商)为了拿到更多的号码资源,拿到更多的一些增加开通(城市)的这种指标的话,他就去以一种假激活的方式,然后去套取一些这种资源。”
虚商多要求用户手持身份证上传照片
急于扩大业务规模、实名登记管理落实不彻底,是170、171号段乱象频出的根本原因。对此,工信部表示,实名制落实情况将成为虚拟运营商申请牌照“一票否决项”。
虚拟运营商中麦通信副总裁宋宏生告诉记者,当前做线上业务的这些个虚商,普遍都采用了用户手持身份证上传照片的这种要求。“但是我们这种除了用户手持身份证照片以外,还增加了用户手持身份证加SIM卡的一个上传。有SIM卡对应的序列号,这样几个信息结合,就可以保证做到用户、证件和代开通号码完全一致,这个流程现在已经投入应用了。”
宋宏生说,目前虚拟运营商处于发展初期,到目前为止还没有一家实现全面盈利。大规模实施实名制要投入大量的技术设备和人力物力。仅各营业网点二代身份证识别系统的投入就高达几千万,这对一直赔本赚吆喝的虚拟运营商来说也是一笔不小的成本。