從 Equifax 被駭事件 新創公司 Bloom 告訴你如何用區塊鏈解決「信貸業中心化」產生的問題

新創公司 Bloom 利用區塊鏈技術的優勢,打造一個全球性信用評級服務平台。

據 Bloom 的統計,一般傳統的信用查核(credit-checking)的審核門檻太高,導致數十億人被排除在外,無法申請並享用基本的信貸服務。另外,又有統計數據顯示, 發展中的國家人民 之中只有不到 9% 的人,曾成功從金融機構申請到貸款。Bloom 表示:「那些無法申請貸款的人,便被迫轉向像地下錢莊等的非法貸款機構貸款。」

無論在哪個國家或哪個區域,實現個人經濟目標的關鍵就是——『獲得信貸』,一種 維持社會流動性的基礎

不僅如此,Bloom 也點出了機構壟斷信用查核所產生的問題。在美國,高達 90% 的銀行和信貸機構採用 FICO 評分模式。FICO 的評分主要基用三家國家級信用機構的消費者信用檔案:Experian、Equifax 和 TransUnion。 由於每個機構所提供的消費者信用檔案可能會包含不同的信息,因此 FICO 產生的評分亦會因提供信息的機構的不同而有所變化。這套信用評級法雖然一方面被廣泛採用,但另一方面卻造成 4,500 多萬名美國公民無法得到信用評分。

Bloom 指出,正因為這些中央信用機構施加的人為評分限制,在美國–這全球最發達的經濟體,卻有數以百萬計信譽良好的借款人被剝奪了擁有房屋、創業或實現財務穩定的權利。Bloom 還特別指出在別的國家中也有相同的問題產生:

中國 ,你的 政治觀點 會影響到你的信用評分;在 法國、葡萄牙、西班牙及北歐的國家 沒有信用評分的制度,只會檢查你是否有 不良紀錄 ;在 阿拉伯聯合大公國(The United Arab Emirates)宗教規定 限制了消費者信用報告的成長;而在 英國 ,若你沒有 投票權 的話,你就無法得到較高的信用評分。

Bloom 是一個基於以太坊及 IPFS 的平台,該團隊目前正在發展端對端(end-to-end)協議,以用於身份驗證(BloomID)、風險評估(BloomScore)以及信用評級(BloomIQ),並將這幾項資料全數存放於區塊鏈上。該項目隊團強調:

Bloom 不是一個貸款機構,它是一個平台。

透過區塊鏈技術的應用,Bloom 努力尋求信用評級系統問題及安全問題的解決方法。Bloom 是一個標準化兼可編程的生態系統,旨在促進一種按需(on-demand)、安全和全球通用的信用評級服務。 Bloom 為跨國信用評級和身份欺詐提供了解決方案,並同時改善了 70 億人口的信用評級方法。該項目將所有貸款人帶到區塊鏈平台上,從抵押貸款提供者到地方信用合作社,全球貸款人將能夠利用更為全面的信用數據庫,Bloom 更可助這些貸款人拓展 30 億新借款人的市場。

Equifax 被駭事件

月初,全美三大信用機構之一的 Equifax 公司發表聲明,指黑客利用該機構網站上的漏洞攻擊其數據庫,是次事件涉及 1.43 億個美國客戶的個人資料外洩,包括姓名、出生日期、社會安全號碼和駕駛執照號碼。不僅如此,Equifax 還表示,約有 20.9 萬名美國客戶的信用卡資料和 18.2 萬人的信用報告相關的文件信息也被黑客入侵竊取。

由於 Equifax 是從信用卡公司、銀行、貸款機構及零售商方面獲得該批資料,受是次駭客事件實質影響的人士並不一定知道自已就是 Equifax 的客戶。高德納(Gartner Inc.)副總兼電腦保安專家 Aviah Litan 接受 CBS News 訪問 時表示,這次數據洩露事件相當嚴重,她形容:

這基本上是數據洩露事件中的「艾瑪(颶風)」,以 1 到 10 說明的話,這就是到第 10 級的規模。

這些資料都是每個人的個人檔案、金融服務、政府和醫療保健互動紀錄,足以讓黑客冒認他們的身份,或會嚴重破壞到他們的日常生活。Litan 補充指:

黑客可以拿這些資料去抵押貸款、提交退稅,甚至提交社會保障福利。這些雖然都記在你名下,但事實是他們把你所有的福利都拿走。

獨立安全研究員 Andrew Komarov 指出,若將這些個人資料及財產細節拿到黑市販賣,估計市值可高達 50 萬美金。據 CBC 日前(19 日)報導,Equifax 的加拿大公司證實,約 10 萬名加拿大客戶的個人信息亦受到波及。

Bloom 的解決方案

Bloom 公司亦就是次 Equifax 被駭事件發表了看法,指出:目前「財務」依賴在那些信用機構身上,該些機構擁有身份驗證和信用評級所需的所有重要數據。而每個需要檢查你真實身份或評估你的信用風險的公司都會以某種方式與其中一家信用機構(直接或通過經銷商)合作。這就是為什麼黑客能夠在短短 78 天時間內取得 1.43 億個資料–「中心化」產生的問題。

Bloom 還進一步指出,建立一間信用機構的價值主張就是將大量數據集中,所以很難去創建另一間新的,而即使成功了,也只是製造出另一個「中心化」。但如果利用 Bloom 平台,身份的查證將與你平常用於所有金融交易的身份相連。當你轉換工作到一家新公司,該公司應該能看到你過去的查核記錄,繼而決定是否要進行額外的查核。

Bloom 平台上「身份查核」的設計

這裡利用到公鑰加密來方便與身份驗證公司、貸款供應商等進行數據共享,而通過分離式簽名(detached signature)以及數據加密,將來可以依據合法性原因來收集識別信息,並能清楚知道這些數據與用於過去的驗證是完全相同。 這將可以達到既遵守合規要求又不需要通過信用機構來對每個查核進行管理。若果想要申請貸款,所有的財務活動應以私人方式與「身份」連接,分離式簽名的方法可讓將來的貸款人知道你跟他們分享的是過去沒有被篡改的財務信息。

不需經過任何信用機構,在 Bloom 的設計下可分享你過去的支付信息。

Bloom 強調他們運用專屬的「去中心化協定」來鞏固並達成信貸相關的個人資料安全性。該公司指,期望目前的這些「老派」信用機構突然能保障你的資料安全是不切實際,不如把重點放在一個「去中心化」的系統上,利用去中心化來逐步取代他們。

 

(本文由財團法人資訊工業策進會及區塊客共同著作)

圖片: bloom

你也可能對這些主題有興趣...