日前，浙江一家網際網路金融平臺——銅掌櫃被曝出存在系統安全問題，導致平臺60萬用戶大量敏感資訊洩露。銅掌櫃首席資訊官金少策回應稱漏洞已修復。

　　然而，銅掌櫃存在的問題遠不止這些，媒體報道稱，該平臺標的資訊披露過少，資金託管機構未明確，運用資金池管理模式風險高。

　　銅掌櫃60萬用戶資訊遭洩露

　　據《中國經營報》報道，根據補天漏洞響應平臺披露的資訊顯示，銅掌櫃漏洞打包泄漏60萬用戶的姓名、手機、銀行卡和密碼。該漏洞提交于12月1日，被定性為事件型漏洞，官方評級高危。據悉，事件漏洞(即非通用型漏洞)，主要是指網際網路上應用的一個具體漏洞，例如，某網站命令執行可被滲透、某電商訂單洩露任意充值、某網站應用SQL注入可導致資訊洩露等等。

　　12月14日，國家網際網路應急中心也對該漏洞進行了回復：“CNVD確認所述情況，已由CNVD通過網站管理方公開聯繫渠道向其郵件通報，由其後續提供解決方案。”

　　儘管官網上宣稱其平臺有多重認證和加密，然而銅掌櫃仍被爆出系統存在漏洞，導致用戶資訊遭到洩露。在銅掌櫃官網的“安全保障”一欄中，其宣傳表示：“不僅為用戶提供金融資訊服務，也保障用戶的資訊與資金安全。銅掌櫃採用128位安全加密技術與安全認證體系，保障數據與資金安全，並嚴格遵守所有關於可辨識個人資訊保存的法規要求，確保投資人提供的所有資訊都能得到機密保護。”

　　資深業內人士梅州評認為，作為資訊技術平臺，技術安全是最基本的要求，平臺和投資者都不應該忽視。

　　行業安全建設待加強 公司回應稱漏洞已修復

　　據《每日經濟新聞》報道，銅掌櫃首席資訊官金少策12月20日在接受其記者採訪時表示，經與技術部門核實，該漏洞于12月1日由“白帽子”發現並提交到某漏洞響應平臺，並在12月9日進行了修復，期間並未出現任何用戶資訊被洩露。

　　“此前，我們已經完成了修復，但忽略了在響應平臺上的確認。近日，我們已正式向該漏洞響應平臺確認回復”，金少策表示，“目前銅掌櫃數據安全與阿裏雲合作，平臺數據安全由阿裏雲提供保障。”

　　網路安全專家、北京白帽匯科技有限公司CEO趙武表示，目前國內網站存在安全漏洞是普遍現象，很多領域都存在，希望相關政府部門和公司能夠引起足夠重視。

　　趙武表示，隨著國家“網際網路+”戰略的提出，很多網際網路金融公司雨後春筍般涌現。這些公司在發展過程中，除了關注用戶規模、成交量規模的發展外，也應加強資訊安全建設。比如，成立資訊安全部門、積極和行業內的安全資訊公司建立聯繫、對於行業內發生的數據洩露事件，積極採取補救措施等手段，從多方面去築起一道資訊安全的“籬笆”。

　　銅掌櫃資金託管機構不明 資訊披露嚴重不足

　　資料顯示，銅掌櫃平臺運營主體為杭州銅米網際網路金融服務有限公司，是浙江首批獲得“網際網路金融服務”資質的公司之一，目前已獲上市公司中來股份(300393)戰略入股。公司成立於2014年7月，註冊資本3000萬元，法人代表張焱。

　　據《投資快報》報道，銅掌櫃其他問題不少，包括：資金託管機構不明，運用資金池管理模式，資訊披露嚴重不足。

　　經查閱銅掌櫃官網，記者發現平臺對於資金託管機構並未明確披露。在其官網中的“掌櫃吧”上，有投資者發帖詢問“銅掌櫃是什麼銀行資金託管”，一位客服回復稱，“目前銀行託管政策沒有出來，所以沒有託管銀行，資産由四大行之一的銀行監管(因為同銀行有君子協議，故不對外公示)。”

　　銅掌櫃客服表示，“我們這邊是銀行進行監管的，銀行監管就是我們的資金進出都是通過第三方的，然後資金也是在銀行進行監管，而且我們的賬戶資金安全由中國人保承包。” 有市場分析人士認為，不管是銀行託管還是第三方支付託管，作為平臺方都應公開這方面的具體資訊，不應以其他理由拒絕公開。

　　此外，一位不願具名的業內人士表示，某些平臺以此大肆宣傳，只是對投資者玩了一個文字遊戲。託管和存管(監管)差別是很大的，哪怕是第三方支付的託管也比一般意義的存管安全性要高一點，銅掌櫃目前採用的認證支付和網關支付模式，實際上就是資金池管理模式，風險很高。

　　資訊披露嚴重不足方面，《投資快報》記者查閱多個“銅政寶”借款標的後發現，項目資訊中所披露的資訊較少。以《借款合同》為例，除了借款金額有披露外，包括合同編號、公章在內的一切資訊全部被打開工賽克。