銅掌柜系統存漏洞 60萬用戶信息遭泄露
對于互聯網用戶而言�����,網絡安全至關重要�����。而隨著越來越多人通過線上進行投資理財,更是將網絡安全推到了高潮�����。在補天漏洞響應平臺上�����,浙江一家互聯網金融平臺——銅掌柜被爆出存在系統安全問題�����,導致平臺60萬用戶大量敏感信息泄露。
針對此事�����,《中國經營報》記者隨后多次致電銅掌柜市場部和媒體公關部�����,卻一直未有人接通�����。在致電客服后,對方表示�����,記者所發送的采訪郵件已經轉至相關部門�����。不過�����,截至發稿前,記者仍未收到公司的相關回復前�����。此外�����,記者發現平臺標的信息披露過少�����,而資金托管機構也未明確。
被定性高危漏洞
根據補天漏洞響應平臺披露的信息顯示�����,銅掌柜漏洞打包泄漏60萬用戶的姓名�����、手機、銀行卡和密碼。該漏洞提交于12月1日,被定性為事件型漏洞�����,官方評級高危�����,目前仍處于通知廠商中�����。
據悉,補天漏洞響應平臺對漏洞的定義分為通用漏洞與事件漏洞兩種。其中,事件漏洞(即非通用型漏洞),主要是指互聯網上應用的一個具體漏洞�����,例如�����,某網站命令執行可被滲透�����、某電商訂單泄露任意充值、某網站應用SQL注入可導致信息泄露等等。
12月14日�����,國家互聯網應急中心也對該漏洞進行了回復:“CNVD(即國家信息安全漏洞共享平臺)確認所述情況�����,已由CNVD通過網站管理方公開聯系渠道向其郵件通報,由其后續提供解決方案?����!?/p>
在銅掌柜官網的“安全保障”一欄中,其宣傳表示:“不僅為用戶提供金融信息服務,也保障用戶的信息與資金安全�����。銅掌柜采用128位安全加密技術與安全認證體系�����,保障數據與資金安全�����,并嚴格遵守所有關于可辨識個人信息保存的法規要求,確保投資人提供的所有信息都能得到機密保護?����!?/p>
盡管官網上宣稱其平臺有多重認證和加密�����,然而銅掌柜仍被爆出系統存在漏洞�����,導致用戶信息遭到泄露。實際上,互聯網金融平臺系統存在漏洞�����,進而被黑客攻擊的案例不在少數�����。由于黑客攻擊造成系統癱瘓、惡意篡改�����、資金被洗劫一空等�����,甚至出現不少平臺因為黑客攻擊而面臨倒閉�����。
資深業內人士梅州評對本報記者表示,一般投資理財平臺�����,在用戶注冊時都會收集用戶姓名�����、身份證號�����、手機號碼�����、銀行卡號�����、甚至銀行卡密碼等大量敏感信息,如果這些信息曝露給不法分子�����,后者可能會利用這些泄露數據通過一些科技手段復制他人的證件或設備,登錄泄密平臺�����,竊取用戶賬戶內的留存資金�����,給用戶和平臺造成巨大的資金風險�����。
“實際上,從技術角度來說�����,是沒有絕對安全的平臺�����,平臺應該根據運營的實際情況不斷增加在系統安全方面的投入,以防止因為黑客攻擊造成的用戶信息泄露�����。除此之外�����,還有其他非技術因素造成的用戶信息泄露情況�����。比如平臺相關技術從業人員惡意泄露用戶信息,也是一個很難把控的安全問題,對于這樣的問題�����,平臺只有不斷完善相關信息加密保護的制度�����,才能防止因為從業人員的道德風險造成的平臺用戶數據泄露�����。”梅州評認為,作為信息技術平臺�����,技術安全是最基本的要求�����,平臺和投資者都不應該忽視。
信披不足
資料顯示�����,銅掌柜平臺運營主體為杭州銅米互聯網金融服務有限公司�����,是浙江首批獲得“互聯網金融服務”資質的公司之一�����,目前已獲上市公司中來股份(300393.SZ)戰略入股。公司成立于2014年7月�����,注冊資本3000萬元�����,法人代表張焱�����,業務主體包括跨境電商�����、融資租賃、供應鏈金融、消費分期等�����。截至目前�����,累計投資金額37.5億元,活躍用戶數60.9萬人�����,平均借款周期1個月�����,平均年化收益10.2%�����。
銅掌柜旗下有三款產品,銅錢寶是銅掌柜推出的一款活期理財產品�����;銅信寶是固收理財產品�����;銅政寶則是與當地政府全資子公司及證券公司發行管理的資產管理計劃掛鉤�����。
經查閱銅掌柜官網,記者發現平臺對于資金托管機構并未明確披露�����。在其官網中的“掌柜吧”上�����,有投資者發帖詢問“銅掌柜是什么銀行資金托管”�����,一位客服回復稱,“目前銀行托管政策沒有出來,所以沒有托管銀行�����,資產由四大行之一的銀行監管(因為同銀行有君子協議�����,故不對外公示)�����?����!?/p>
記者致電銅掌柜客服,詢問“目前是否有資金托管”時�����,對方表示�����,“我們這邊是銀行進行監管的,銀行監管就是我們的資金進出都是通過第三方的,然后資金也是在銀行進行監管,而且我們的賬戶資金安全由中國人保承包�����?����!?/p>
梅州評認為�����,不管是銀行托管還是第三方支付托管,作為平臺方都應公開這方面的具體信息,不應以其他理由拒絕公開。另外,任何一家平臺上的用戶資金都是在銀行系統里面流通的,不管托管還是監管或是存管都是如此�����。
“某些平臺以此大肆宣傳�����,只是對投資者玩了一個文字游戲�����。托管和存管(監管)差別是很大的,哪怕是第三方支付的托管也比一般意義的存管安全性要高一點,銅掌柜目前采用的認證支付和網關支付模式�����,實際上就是資金池管理模式�����,風險很高?����!币晃徊辉妇呙臉I內人士對記者表示�����。
該業內人士還表示�����,此外,保險和P2P平臺的合作險種有以下幾種:履約保證保險�����、風險準備金管理保險�����、賬戶安全險�����、交易資金損失險�����、借款人意外險及抵押物滅失險�����。其中以履約保證險最為重要�����,因為此險種才真正起到了保險公司為平臺項目最終兜底的作用,其他險種都是相對很次要的險種�����,意義不大�����,但是一些平臺在投保了除履約保證險之外的險種后�����,對外大肆宣傳和保險有合作,以此給投資者一個保險兜底的假象�����,實際上已經涉及虛假宣傳�����。
此外�����,記者查閱多個“銅政寶”借款標的后發現�����,項目信息中所披露的信息較少�����。以《借款合同》為例,除了借款金額有披露外,包括合同編號、公章在內的一切信息全部被打上馬賽克�����。
由于無信披標準�����,大多數網貸平臺信披不充分的問題一直飽受詬病�����。資深從業人士張朝陽對記者表示,很多平臺的信息披露程度取決于平臺老板的意愿,越是正規的平臺所披露的信息也是越健全的�����。對于很多不正規的平臺來說�����,甚至可能連借款方名稱等基本信息都拒絕公開�����。
不過�����,信披無標準的混亂時光也許很快就要被終結�����。有消息稱互聯網金融行業未來將實行負面清單制�����,對于信息披露也有要求。整體看來,在信息披露方面�����,監管未提及分級管理�����,而是要求向出借人充分披露融資方基本信息�����,包括年收入、主要債務�����、信用報告�����;融資項目基本信息,包括項目的主要內容�����、還款來源�����、融資用途�����、金額、期限�����、利率、信用評級情況等�����,也要披露融資方已有的債務信息�����?����;ヂ摼W金融平臺應對出借人和借款人的資格條件�����、信息真實性�����、融資項目真實性等進行必要審核�����。如果發現欺詐行為,應及時公告并終止網絡借貸活動�����?����;ヂ摼W金融平臺還應以醒目的方式提示網絡借貸風險�����。此外,平臺自身也需要進行披露信息�����。主要包括�����,交易金額、交易筆數、借款余額、最大借款單戶余額占比、借款逾期金額�����、代償金額�����、借貸逾期率�����、借貸壞賬率�����、出借人數量、借款人數量等信息。同時,也要披露年報�����、經審計過的財務報表�����、與存管機構合作情況等�����。
