銅掌櫃被曝問題多:系統存漏洞 資金託管機構不明
- 發佈時間:2015-12-23 07:34:27 來源:中國經濟網 責任編輯:張明江
日前,浙江一家網際網路金融平臺——銅掌櫃被曝出存在系統安全問題,導致平臺60萬用戶大量敏感資訊洩露。銅掌櫃首席資訊官金少策回應稱漏洞已修復。
然而,銅掌櫃存在的問題遠不止這些,媒體報道稱,該平臺標的資訊披露過少,資金託管機構未明確,運用資金池管理模式風險高。
銅掌櫃60萬用戶資訊遭洩露
據《中國經營報》報道,根據補天漏洞響應平臺披露的資訊顯示,銅掌櫃漏洞打包泄漏60萬用戶的姓名、手機、銀行卡和密碼。該漏洞提交于12月1日,被定性為事件型漏洞,官方評級高危。據悉,事件漏洞(即非通用型漏洞),主要是指網際網路上應用的一個具體漏洞,例如,某網站命令執行可被滲透、某電商訂單洩露任意充值、某網站應用SQL注入可導致資訊洩露等等。
12月14日,國家網際網路應急中心也對該漏洞進行了回復:“CNVD確認所述情況,已由CNVD通過網站管理方公開聯繫渠道向其郵件通報,由其後續提供解決方案。”
儘管官網上宣稱其平臺有多重認證和加密,然而銅掌櫃仍被爆出系統存在漏洞,導致用戶資訊遭到洩露。在銅掌櫃官網的“安全保障”一欄中,其宣傳表示:“不僅為用戶提供金融資訊服務,也保障用戶的資訊與資金安全。銅掌櫃採用128位安全加密技術與安全認證體系,保障數據與資金安全,並嚴格遵守所有關於可辨識個人資訊保存的法規要求,確保投資人提供的所有資訊都能得到機密保護。”
資深業內人士梅州評認為,作為資訊技術平臺,技術安全是最基本的要求,平臺和投資者都不應該忽視。
行業安全建設待加強 公司回應稱漏洞已修復
據《每日經濟新聞》報道,銅掌櫃首席資訊官金少策12月20日在接受其記者採訪時表示,經與技術部門核實,該漏洞于12月1日由“白帽子”發現並提交到某漏洞響應平臺,並在12月9日進行了修復,期間並未出現任何用戶資訊被洩露。
“此前,我們已經完成了修復,但忽略了在響應平臺上的確認。近日,我們已正式向該漏洞響應平臺確認回復”,金少策表示,“目前銅掌櫃數據安全與阿裏雲合作,平臺數據安全由阿裏雲提供保障。”
網路安全專家、北京白帽匯科技有限公司CEO趙武表示,目前國內網站存在安全漏洞是普遍現象,很多領域都存在,希望相關政府部門和公司能夠引起足夠重視。
趙武表示,隨著國家“網際網路+”戰略的提出,很多網際網路金融公司雨後春筍般涌現。這些公司在發展過程中,除了關注用戶規模、成交量規模的發展外,也應加強資訊安全建設。比如,成立資訊安全部門、積極和行業內的安全資訊公司建立聯繫、對於行業內發生的數據洩露事件,積極採取補救措施等手段,從多方面去築起一道資訊安全的“籬笆”。
銅掌櫃資金託管機構不明 資訊披露嚴重不足
資料顯示,銅掌櫃平臺運營主體為杭州銅米網際網路金融服務有限公司,是浙江首批獲得“網際網路金融服務”資質的公司之一,目前已獲上市公司中來股份(300393)戰略入股。公司成立於2014年7月,註冊資本3000萬元,法人代表張焱。
據《投資快報》報道,銅掌櫃其他問題不少,包括:資金託管機構不明,運用資金池管理模式,資訊披露嚴重不足。
經查閱銅掌櫃官網,記者發現平臺對於資金託管機構並未明確披露。在其官網中的“掌櫃吧”上,有投資者發帖詢問“銅掌櫃是什麼銀行資金託管”,一位客服回復稱,“目前銀行託管政策沒有出來,所以沒有託管銀行,資産由四大行之一的銀行監管(因為同銀行有君子協議,故不對外公示)。”
銅掌櫃客服表示,“我們這邊是銀行進行監管的,銀行監管就是我們的資金進出都是通過第三方的,然後資金也是在銀行進行監管,而且我們的賬戶資金安全由中國人保承包。” 有市場分析人士認為,不管是銀行託管還是第三方支付託管,作為平臺方都應公開這方面的具體資訊,不應以其他理由拒絕公開。
此外,一位不願具名的業內人士表示,某些平臺以此大肆宣傳,只是對投資者玩了一個文字遊戲。託管和存管(監管)差別是很大的,哪怕是第三方支付的託管也比一般意義的存管安全性要高一點,銅掌櫃目前採用的認證支付和網關支付模式,實際上就是資金池管理模式,風險很高。
資訊披露嚴重不足方面,《投資快報》記者查閱多個“銅政寶”借款標的後發現,項目資訊中所披露的資訊較少。以《借款合同》為例,除了借款金額有披露外,包括合同編號、公章在內的一切資訊全部被打開工賽克。
- 股票名稱 最新價 漲跌幅