Репортер BBC Click Дэн Симмонс утверждает, что его неидентичный брат-близнец смог обмануть систему и получить доступ к банковскому аккаунту.
Система распознавания голоса HSBC, используемая полумиллионом клиентов для безопасного доступа к своим банковским счетам, была взломана близнецом клиента, который имитировал голос своего брата.
Когда система была запущена в прошлом году, глава отдела розничных банковских услуг HSBC заявил, что новая система защищена и настаивал на том, что «ваша голосовая печать уникальна точно так же, как ваш отпечаток пальца».
Но когда репортер BBC Click Дэн Симмонс создал аутентифицированную учетную запись HSBC с голосовой идентификацией, его неидентичный близнец Джо смог обмануть систему и получить доступ к учетной записи своего брата.
HSBC сказал, что рассматривает безопасность своих систем голосового доступа после нарушения. В отличие от традиционных систем паролей, которые блокируют пользователей после неоднократных неудачных попыток, Джо Симмонс пытался семь раз повторить голос своего близнеца до того, как HSBC разрешил доступ.
Банк заявил, что в будущем он будет давать пользователям только три попытки получить доступ к своим учетным записям с помощью голосового идентификатора, прежде чем блокировать их.
Система HSBC просит пользователей произносить «мой голос - мой пароль» через телефон, после чего сделанная запись сопоставляется с оригинальной записью голоса человека, предоставляя доступ к его аккаунту.
По данным BBC, нарушение не позволило Джо Симмонсу снять деньги, но он смог получить доступ к остаткам и недавним транзакциям, и ему была предоставлена возможность перевести деньги между счетами.
«Меня тревожит тот факт, что банк дал мне семь попыток подражать голосовой печати моего брата, прежде чем в восьмой раз я слелал всё правильно», - сказал он.
В настоящее время Voice ID присваивается 15 миллионам клиентов HSBC. При запуске нововведения HSBC заявил: «Теперь технология - это лучший способ безопасно посещать интернет-банк, не требуя паролей».
В заявлении, опубликованном после того, как известие о нарушении было обнародовано, HSBC сказал: «Безопасность счетов наших клиентов имеет для нас огромное значение, и Voice ID является одним из самых безопасных методов аутентификации клиентов.
Внедрение этой технологии привело к значительному сокращению телефонного мошенничества и оказалось более надежным, чем PIN-коды, пароли и запоминающиеся фразы. Наша система VoiceID позволяет нам вносить изменения в различные параметры безопасности. После изучения проблемы мы внесли изменения, чтобы сделать её еще более безопасной.
Смущенные администраторы HSBC предположили, что эксперимент BBC Click, хотя и реален, не открывает дверь для мошенников. «Это не тот метод, который используют мошенники. Это был близнец, сидевший рядом со своим братом. Он мог также знать другие данные безопасности, такие как девичья фамилия матери, имя домашнего животного и т. д.
В реальной ситуации мошенник не сидит рядом с вами. Если он попытается записать ваш голос, когда вы произносите «мой голос - мой пароль», это также не сработает, поскольку система способна распознавать синтетические голосовые характеристики.
В 2013 году Barclays представил программное обеспечение для распознавания голоса для всех своих 300 000 самых богатых клиентов в Великобритании. Год спустя банк заявил, что технология была настолько успешной, что будет представлена 12 миллионам клиентов розничных банков.
Barclays сказал, что продукт был «невероятно популярен» у наиболее состоятельных клиентов, причем время, необходимое для проверки их личности, сократилось с 1,5 минут до менее 10 секунд.