原文標題：易九金融被爆系統存漏洞 用戶數據或遭洩露

　　對於投資者而言，P2P風控除了自身業務之外，平臺系統的安全性也同樣值得關注。

　　近日，補天漏洞響應平臺爆出重慶網貸平臺易九金融的系統存在漏洞，導致上萬用戶數據洩露。

　　此外，曾有投資者在網路上質疑易九金融與平台資金第三方託管機構——重慶易極付科技有限公司（以下簡稱“易極付”）均屬重慶博恩科技集團，用戶資金安全或存風險。

　　基於此，《中國經營報》記者致電了易九金融採訪。

　　對於上述問題，平臺一位負責人以短信形式進行了回復。她表示，易極付是第三方支付公司，有央行和相應的監管銀行進行資金的監管。因此，平臺絕對沒有設立資金池，資金流向也非常清晰。而對於補天漏洞響應平臺爆出的漏洞問題，對方則表示暫時沒有接到客戶投訴。

　　平臺漏洞屬高危級別

　　根據補天漏洞響應平臺官網上的資訊顯示，易九金融的漏洞被描述為“存在資訊洩露、資金操作風險”，官方評為高危級別。漏洞提交時間為2015年11月1日，被定為事件型漏洞，目前正處於通知廠商中（即易九金融）。

　　據記者了解，補天漏洞響應平臺對漏洞的定義分為通用漏洞與事件漏洞兩種。其中，事件漏洞（即非通用型漏洞），主要是指網際網路上應用的一個具體漏洞，例如，某網站命令執行可被滲透、某電商訂單泄漏任意充值、某網站應用SQL注入可導致資訊洩露等等。

　　在易九金融官網上的“安全保障”中，對平臺系統安全性的描述為“平臺IT系統為本公司自主研發，通過內外網完全隔離、高等級訪問控制、入侵防範、行為監控、高標準數據加密等一系列保障措施，確保用戶資訊與交易資訊的數據安全。同時建立了異地備份數據中心，制定了多套災備應急方案，確保發生緊急事件時避免存儲數據丟失，保證核心設備正常運作”。

　　上述平臺負責人在回復記者時，首先表示目前暫時沒有收到客戶投訴資訊洩露的問題，此後亦表示，平臺擁有獨立IT團隊，一直在維護和升級系統，肯定會以客戶利益為首。

　　隨著P2P兩年多以來的野蠻生長，平颱風控安全已不僅僅只局限在業務模式上，系統安全亦十分重要。全國人大財經委員會副主任吳曉靈曾公開表示，根據世界反駭客組織的最新通報，中國P2P已經成為全世界駭客宰割的羔羊。業內人士亦表示，駭客頻繁高強度的攻擊，已然是行業內“公開的秘密”。

　　據相關數據顯示，截至2014年底，已有近165家P2P平臺由於駭客攻擊造成系統癱瘓、惡意篡改、資金被洗劫一空等，甚至有不少平臺因為駭客攻擊而面臨倒閉。例如，去年中旬，深圳曉風軟體公司服務的一百多家P2P平臺被爆存系統漏洞，遭駭客攻擊，導致很大一部分被攻擊的P2P平臺損失慘重。

　　資深業內人士對本報記者表示，P2P作為資訊技術平臺，技術安全是最基本的要求。在實際操作中，平臺和投資者都應重視系統安全問題，對平臺而言，如若自身無法把控，則可以聘請相關第三方安全認證機構。

　　“一般而言，平臺會掌控用戶的身份證號，銀行卡號，綁定銀行卡的手機號，甚至身份證原件圖片，如果使用快捷支付，有些平臺甚至會記錄相應銀行卡的取款密碼，如果這些資訊洩露，被一些不法分子掌握，對用戶的資金安全來講無疑是滅頂之災。”該人士表示。

　　資金託管機構與平臺屬同一集團

　　重慶易九金融服務有限公司（即易九金融運營公司）成立於2013年6月，註冊資本3000萬元人民幣，公司法人王希婭，股東是重慶易一天使投資有限公司、陳林和張鵬，平臺平均收益在8.7%，投資期限主要以4~6個月為主，投資種類分為“投融保”和“政融保”。經營範圍包括：投融資諮詢服務、信用管理、資産管理、企業信用管理、商務資訊諮詢服務等。

　　官網顯示，易九金融是由重慶博恩科技集團（以下簡稱“博恩集團”）全資擁有的重慶易一天使投資公司聯合自然人共同發起創立。博恩集團是一家以軟體、網際網路為主業的大型科技集團，旗下知名企業包括全球最大威客網——重慶豬八戒網路有限公司，重慶唯一一家同時擁有網際網路第三方支付牌照、基金銷售支付結算牌照、跨境電子商務外匯支付牌照的第三方支付公司——易極付等。

　　值得注意的是，記者在官網上並沒有明確提示平臺第三方資金託管機構名稱。在“安全保障”中“第三方支付機構託管資金賬戶”中顯示，“參與交易的各方均在第三方支付機構開設獨立的資金託管賬戶，所有資金劃付指令由客戶通過平臺向第三方支付機構發出。第三方支付機構為獲中國人民銀行頒發的網際網路支付結算牌照的企業，其資金託管業務在央行的嚴格監管之下。通過第三方機構對資金賬戶託管，平臺與客戶資金嚴格隔離，杜絕挪用、自融、非法集資等風險”。

　　在記者致電易九金融時，對方回應稱，平台資金確實由第三方支付機構——易極付進行資金託管。不過，該負責人表示，易極付是第三方支付公司，有央行和相關監管銀行進行監管，平臺絕對沒有設立資金池，資金流向也非常清晰。

　　中倫文德律師事務所高級合夥人、網際網路金融法律顧問團隊負責人陳雲峰表示，一則是理論上的，另一側是實踐操作上的。理論上，根據十部委意見是不容許設立資金池的。而安全操作實務方面，如果一個平臺能遵守規則，那麼它是安全的，反之則不安全。

　　“平臺與第三方資金託管機構這種情況屬於關聯公司，不是不可以，不過應該向投資人公開並設置制度防止利益輸送。”北京大成律師事務所合夥人肖颯説。

　　資深業內人士楊濤認為，目前的P2P資金託管模式中，常用的還是網際網路支付公司的託管模式，其實這種託管模式嚴格來講也是資金池模式，只是資金池管理是支付公司（沒有託管的P2P也是資金池，但資金池管理是P2P公司）。在今年7月出臺的支付公司監管政策之前，這是這些公司心照不宣的秘密，同時第三方支付公司在做其他業務時，也會産生數量巨大的沉澱資金，而資金的管理全部由第三方支付公司自由掌控。雖然這些資金也在銀行存放，但只是存放在第三方支付公司的不同戶頭上的，銀行是不會監管資金流動的去向的，跟普通人在銀行開賬戶存取錢一樣，銀行是沒有義務確定資金是否屬於儲戶。

　　今年8月，由於涉嫌違規挪用客戶備付金等違法犯罪行為，浙江易士企業管理服務有限公司被央行正式吊銷《支付業務許可證》，成為國內首家《支付業務許可證》登出企業。央行“零容忍”的明確態度也被業內人士解讀，央行為第三方支付機構敲響了警鐘，也意味著日後央行對第三方支付機構的監管將越來越嚴格。

　　此外，記者發現易九金融的標的借款金額都在百萬級別以上，起投金額也在萬元以上，資金主要用於項目流動需求。其中，“投融保”是平臺簽約的國有擔保公司將其評審通過的投資接收人推薦到平臺進行融資，而“政融保”是聯合各省、市、區、縣政府控制的國有公司推出的P2G直融項目。

　　有業內人士對記者表示，在實體經濟疲軟、地方債高企的大環境下，眾多百萬級別借款金額的企業，其兌付能力也有待考量。