交行网银系统存漏洞 双控没锁住百万存款

　　客户杨先生在交通银行借记卡上存入100万元，第二天卡内剩下4950元，而此时借记卡、USBKey(电子钥匙)等文件资料都还保存在他手里。杨先生认为是交行的责任，导致了自己近百万元的损失，遂寻求法律解决。法院经审理后判定，交通银行对客户杨俊文账户上损失的近百万元不承担责任。杨俊文不解：“既然有了密码就可以把钱转走，那还要这电子钥匙做什么？”

　　□《民主与法制时报》记者 廖隆章 发自长沙

　　2007年12月4日，长沙市芙蓉区人民法院对杨俊文状告交通银行股份有限公司长沙潇湘支行合同纠纷案作出一审判决。法院判定交通银行对客户杨俊文账户上损失的近百万元不承担责任。

　　杨俊文明确表示对一审判决结果不服，已经提起上诉。

　　中国电子学会一名电子签名专家指出：“交通银行给客户提供的只是一个没有安装数字证书及对应私钥的USBKey，而以此作为银行配发的USBKey，就是给了客户一个违规的、非法的产品，是典型的欺骗客户的行为。”

　　“双控”近百万元

　　存款不翼而飞

　　杨俊文是湖南长沙某房地产公司的法人代表，因为要和香港某公司合作一笔业务，筹集到100万元作为保证金。

　　为了保证资金的安全，“由双方共同控制这笔资金”，即“资金双控”。

　　经过多次咨询后，今年5月16日，杨在交通银行长沙潇湘支行柜台，办理了太平洋借记卡，存入了100万元现金，并开通了网上银行业务(下简称“网银”)。双方按照约定，由杨掌握着存单、身份证、银行卡，还有银行推荐买的一套“电子钥匙”(USBKey)；密码则由对方单独设定和掌握。

　　就这样，他们完成了“资金双控”的程序。

　　当天办理完这些手续，杨俊文当着香港公司代表的面，对存单、身份证、银行卡和电子钥匙进行了封存。双方约好，在香港见面进一步详谈合作的细节。杨俊文便于当天下午2时45分飞赴香港。

　　到香港后的第二天上午，杨俊文打电话联系与其约定洽谈的香港公司负责人，但电话一直打不通。他预感到事情不妙，便立即通知远在长沙的公司会计，去交通银行查询资金情况。

　　会计按杨的指令带着封存的存单、身份证、银行卡和电子钥匙，匆匆赶到交通银行潇湘支行柜台查询该笔资金情况，这时发现账户上的百万资金已经不翼而飞了，只剩下4950元。

　　杨俊文惊呆了。郁闷过后，他觉得近百万资金不能这样平白无故地蒸发，应该有人对此负责。“银行明知道我这笔资金是需要和香港合作方双控的，他们告诉我有了电子钥匙，即使密码丢了，对方也不可能把钱取走，所以我就选择控制电子钥匙。可是，钱还是被对方转走了！”经过反复思考，他认为交通银行应该对他的损失负责。

　　2007年6月5日，杨俊文以服务合同纠纷为由，将交通银行股份有限公司长沙潇湘支行告上法庭。

　　起诉要求交通银行

　　承担责任

　　长沙市芙蓉区人民法院受理后，于8月28日、29日对此案进行了公开开庭审理。

　　庭审的焦点是：交通银行网上银行系统的安全性、电子钥匙的作用，以及泄密责任等。

　　原告坚持认为，是由于被告一再承诺，在网银环境中一方持有银行借记卡和电子钥匙，另一方持有借记卡密码，可以实现“资金双控”，原告才向被告办理了存款和网上银行业务。

　　被告向法庭提供的实时监控录像显示：原告办理存款和网银业务时，原告借记卡的交易密码、查询密码均由第三人在柜台设置。

　　杨俊文和公司会计曾多次咨询过交通银行其他网点工作人员，得到的答复是，有了电子钥匙，哪怕丢了密码，钱也转不走。杨俊文正是相信了这些，才放心地把钱存入交通银行，让对方设置密码，自己掌握存单、身份证、银行卡和电子钥匙。

　　“我们自始至终都没有动过封存的存单、身份证、银行卡和电子钥匙，对方为什么只凭密码就把钱划走了呢？”杨俊文说，按照交通银行网上银行协议，光有密码是不能将款划走的。

　　庭审时，杨俊文的代理律师出示了一个漂亮盒子包装的电子钥匙(USBKey)——一根数据线和一个类似U盘的电子产品。

　　对于该产品的安全性，杨俊文的代理律师在法庭上表示质疑：“根本就没有看到该电子钥匙的产品合格证和使用说明书。”并拿出了经公证部门封存的一套相同的产品——没有产品合格证和使用说明书。

　　对此，被告交通银行的代理律师认为：交通银行新一代网上银行系统于2006年10月经过中国信息安全产品测评认证中心的系统安全风险评估，认定该行网银系统可以满足银监会《电子银行安全评估指引》关于网上银行的安全要求。对于证书认证版网银系统，该认证中心专家认为：基于数据鉴别方面使用客户证书，保存在自己的USBKey中，别人就无法假冒，从而保证了客户的资金交易安全。本案中，导致该款被转移的原因是因为原告自己把密码泄露给了第三人。

　　一审认定：“双控”不能约束交行

　　“数字证书在用户到交通银行办理网银业务时，即由网银系统产生，但银行并未在办理该业务时，将已产生的数字证书下载到配备给用户的电子钥匙中，而是需要用户自己下载”，杨俊文代理律师认为，银行也未将电子钥匙进行任何特定处理，因此，银行在办理网银时配备的电子钥匙是一个完全空白、无任何特定化信息的物理介质。

　　数字证书下载需要输入三个信息：借记卡卡号、借记卡查询密码和开通网银签约时的协议号。其中借记卡卡号和网银签约的协议号，交通银行均已公开打印在《交通银行股分有限公司个人网上银行业务申请表》中。由于电子钥匙未进行与用户身份相关联的特定化处理，任何人只要知道数字证书下载需要的三个信息，均可将原本应当属于他人的数字证书下载到自己的空白电子钥匙中。代理律师据此分析，“或许，对方正是瞅准了这个漏洞，才得以将巨款转走”。

　　该律师认为，在交通银行的网银环境中，银行配备给用户的电子钥匙“不是用户身份识别的要素，完全不能起到识别用户身份的作用，而开通网银的借记卡的密码成为网银环境下用户身份识别的唯一要素”。因此，“交通银行提供的电子钥匙USBKey产品，完全是画蛇添足。”

　　被告交通银行代理律师则认为：根据交通银行和原告双方达成的《交通银行太平洋借记卡领用合约》及《交通银行股份公司个人网上银行服务协议》，交通银行按照合约已经履行了义务，比如在交易过程中为客户设置交易密码等安全因素，并将形成的各种凭证交客户保管。

　　交通银行认为：本案中，根据和原告达成的银行卡、网上服务协议及其相关法律文件，原告应对安全要素等相关材料负有妥善保管与保密的义务和责任，而事实上，是原告自己将银行卡相关密码、网银协议号、签约卡卡号、个人身份信息等泄露给第三人的，存款被转走是一笔有效交易。因此，原告应当承担由此所产生的一切后果。

　　12月4日，法院做出一审判决，支持了交通银行的诉求。

　　法院判决认为：杨俊文在银行申请办理了交通银行太平洋借记卡并开通网上银行服务，双方已成立了网上银行服务合同，该合同合法有效，交通银行已经将100万元存入指定账户，并将进行网上交易的USBKey及相关资料交由杨俊文保管。杨俊文在太平洋借记卡上的存款99万余元被凭密码从网上转走的根本原因就是杨俊文违反合同关于保密的约定。其损失由自己承担，杨俊文与第三方达成的对借记卡内的存款实行双控的约定不能约束交通银行。

　　官司一审输了，杨俊文不解：“既然有了密码就可以把钱转走，那还要这电子钥匙做什么？”

　　杨俊文明确表示对一审判决结果不服，已经提起上诉。

　　交行网银系统

　　有漏洞

　　在接受记者采访时，杨俊文回忆起事件经过时，有一种“如梦初醒”的感觉。开始谈判时，杨提出在其他银行开户更方便，不一定非要选交通银行，可香港方却死活不同意，只要求存在交通银行，给出的理由是，交通银行刚刚在香港上市，其形象较好，信誉度高。“既然这么说，我就答应了。”杨俊文冷静下来分析，“现在回想起来，这次事件可以断定是一个金融诈骗团伙作案。那么，对方为什么一定要指定在交通银行呢？是不是因为他们早就发现了交通银行内部系统的什么漏洞？”

　　原告代理律师这样分析资金“蒸发”的可能性：“在原告开通了网银后，要实现对太平洋借记卡中的100万资金进行交易操作，只有两种途径：通过借记卡和在网银系统中进行交易。”

　　如果要通过借记卡进行交易，必须同时具有借记卡和借记卡的交易密码。但借记卡交易密码由第三人设置，原告无法知晓；而借记卡也封存在他人的保险箱内。在既没有借记卡也没有借记卡交易密码的情況下，原告不可能通过借记卡实现对账户中100万元资金进行交易操作。

　　如要在网银系统实现资金的交易操作，必须先将开通网银时产生的数字证书下载到电子钥匙中，然后通过电子钥匙在连接上网的电脑上登录进入网银系统。数字证书的下载需凭借网银关联的借记卡的查询密码，但原告存有100万人民币太平洋借记卡的查询密码由第三人设置。因此，原告在不知晓借记卡查询密码的情形下，无法下载该账户关联的数字证书，也就无法进入网银系统实现任何交易操作。

　　无疑，这笔款项是被“双控”的另一方转移走的。

　　12月24日，中国电子学会电子签名专家委员会常务副主任黄永勤专程到长沙调研此案，黄先生通过了解交通银行网银系统后，指出：“交通银行提供的网银服务系统存在明显的缺陷，该系统没有按照国家相关法律、法规通过国家权威机构认证，交通银行提供的这一整套(网银)产品都涉嫌违法。”

　　黄先生指出，根据国家《证书认证系统密码及其相关安全技术规范》要求，密钥不以明的形式出现在密码设备之外，“交通银行提供的密钥恰恰就以明的形式出现在密码设备之外”。根据国家规定，网银系统必须获得国家密码管理机构同意使用密码的证明文件以及国家密码管理局的《电子认证服务使用密码许可证》，除此之外，还必须获得国家密码管理局的“安全性审查”以及信息产业部的“电子认证服务许可证”。上述相关认证缺一不可。

　　黄先生还指出：根据《中华人民共和国电子签名法》的相关规定，“提供电子认证服务，应当具有符合国家安全标准的技术和设备；必须具有国家密码管理机构同意使用密码的证明文件。而交通银行仅仅具备有符合国家安全标准的技术和设备，没有国家密码管理机构同意使用的证明文件。

　　黄先生最后强调指出：“交通银行给客户提供的只是一个没有安装数字证书及对应私钥的USBKey，而以此作为银行配发的USBKey，就是给了客户一个违规的、非法的产品，是典型的欺骗客户的行为。”