銅掌櫃系統存漏洞 60萬用戶資訊遭洩露
- 發佈時間:2015-12-20 08:20:58 來源:中國經濟網 責任編輯:金瀟
對於網際網路用戶而言,網路安全至關重要。而隨著越來越多人通過線上進行投資理財,更是將網路安全推到了高潮。在補天漏洞響應平臺上,浙江一家網際網路金融平臺——銅掌櫃被爆出存在系統安全問題,導致平臺60萬用戶大量敏感資訊洩露。
針對此事,《中國經營報》記者隨後多次致電銅掌櫃市場部和媒體公關部,卻一直未有人接通。在致電客服後,對方表示,記者所發送的採訪郵件已經轉至相關部門。不過,截至發稿前,記者仍未收到公司的相關回復前。此外,記者發現平臺標的資訊披露過少,而資金託管機構也未明確。
被定性高危漏洞
根據補天漏洞響應平臺披露的資訊顯示,銅掌櫃漏洞打包泄漏60萬用戶的姓名、手機、銀行卡和密碼。該漏洞提交于12月1日,被定性為事件型漏洞,官方評級高危,目前仍處於通知廠商中。
據悉,補天漏洞響應平臺對漏洞的定義分為通用漏洞與事件漏洞兩種。其中,事件漏洞(即非通用型漏洞),主要是指網際網路上應用的一個具體漏洞,例如,某網站命令執行可被滲透、某電商訂單洩露任意充值、某網站應用SQL注入可導致資訊洩露等等。
12月14日,國家網際網路應急中心也對該漏洞進行了回復:“CNVD(即國家資訊安全漏洞共用平臺)確認所述情況,已由CNVD通過網站管理方公開聯繫渠道向其郵件通報,由其後續提供解決方案。”
在銅掌櫃官網的“安全保障”一欄中,其宣傳表示:“不僅為用戶提供金融資訊服務,也保障用戶的資訊與資金安全。銅掌櫃採用128位安全加密技術與安全認證體系,保障數據與資金安全,並嚴格遵守所有關於可辨識個人資訊保存的法規要求,確保投資人提供的所有資訊都能得到機密保護。”
儘管官網上宣稱其平臺有多重認證和加密,然而銅掌櫃仍被爆出系統存在漏洞,導致用戶資訊遭到洩露。實際上,網際網路金融平臺系統存在漏洞,進而被駭客攻擊的案例不在少數。由於駭客攻擊造成系統癱瘓、惡意篡改、資金被洗劫一空等,甚至出現不少平臺因為駭客攻擊而面臨倒閉。
資深業內人士梅州評對本報記者表示,一般投資理財平臺,在用戶註冊時都會收集用戶姓名、身份證號、手機號碼、銀行卡號、甚至銀行卡密碼等大量敏感資訊,如果這些資訊曝露給不法分子,後者可能會利用這些洩露數據通過一些科技手段複製他人的證件或設備,登錄泄密平臺,竊取用戶賬戶內的留存資金,給用戶和平臺造成巨大的資金風險。
“實際上,從技術角度來説,是沒有絕對安全的平臺,平臺應該根據運營的實際情況不斷增加在系統安全方面的投入,以防止因為駭客攻擊造成的用戶資訊洩露。除此之外,還有其他非技術因素造成的用戶資訊洩露情況。比如平臺相關技術從業人員惡意洩露用戶資訊,也是一個很難把控的安全問題,對於這樣的問題,平臺只有不斷完善相關資訊加密保護的制度,才能防止因為從業人員的道德風險造成的平臺用戶數據洩露。”梅州評認為,作為資訊技術平臺,技術安全是最基本的要求,平臺和投資者都不應該忽視。
信披不足
資料顯示,銅掌櫃平臺運營主體為杭州銅米網際網路金融服務有限公司,是浙江首批獲得“網際網路金融服務”資質的公司之一,目前已獲上市公司 中來股份 (300393.SZ)戰略入股。公司成立於2014年7月,註冊資本3000萬元,法人代表張焱,業務主體包括跨境電商、融資租賃、供應鏈金融、消費分期等。截至目前,累計投資金額37.5億元,活躍用戶數60.9萬人,平均借款週期1個月,平均年化收益10.2%。
銅掌櫃旗下有三款産品,銅錢寶是銅掌櫃推出的一款活期理財産品;銅信寶是固收理財産品;銅政寶則是與當地政府全資子公司及證券公司發行管理的資産管理計劃掛鉤。
經查閱銅掌櫃官網,記者發現平臺對於資金託管機構並未明確披露。在其官網中的“掌櫃吧”上,有投資者發帖詢問“銅掌櫃是什麼銀行資金託管”,一位客服回復稱,“目前銀行託管政策沒有出來,所以沒有託管銀行,資産由四大行之一的銀行監管(因為同銀行有君子協議,故不對外公示)。”
記者致電銅掌櫃客服,詢問“目前是否有資金託管”時,對方表示,“我們這邊是銀行進行監管的,銀行監管就是我們的資金進出都是通過第三方的,然後資金也是在銀行進行監管,而且我們的賬戶資金安全由中國人保承包。”
梅州評認為,不管是銀行託管還是第三方支付託管,作為平臺方都應公開這方面的具體資訊,不應以其他理由拒絕公開。另外,任何一家平臺上的用戶資金都是在銀行系統裏面流通的,不管託管還是監管或是存管都是如此。
“某些平臺以此大肆宣傳,只是對投資者玩了一個文字遊戲。託管和存管(監管)差別是很大的,哪怕是第三方支付的託管也比一般意義的存管安全性要高一點,銅掌櫃目前採用的認證支付和網關支付模式,實際上就是資金池管理模式,風險很高。”一位不願具名的業內人士對記者表示。
該業內人士還表示,此外,保險和P2P平臺的合作險種有以下幾種:履約保證保險、風險準備金管理保險、賬戶安全險、交易資金損失險、借款人意外險及抵押物滅失險。其中以履約保證險最為重要,因為此險種才真正起到了保險公司為平臺項目最終兜底的作用,其他險種都是相對很次要的險種,意義不大,但是一些平臺在投保了除履約保證險之外的險種後,對外大肆宣傳和保險有合作,以此給投資者一個保險兜底的假像,實際上已經涉及虛假宣傳。
此外,記者查閱多個“銅政寶”借款標的後發現,項目資訊中所披露的資訊較少。以《借款合同》為例,除了借款金額有披露外,包括合同編號、公章在內的一切資訊全部被打開工賽克。
由於無信披標準,大多數網貸平臺信披不充分的問題一直飽受詬病。資深從業人士張朝陽對記者表示,很多平臺的資訊披露程度取決於平臺老闆的意願,越是正規的平臺所披露的資訊也是越健全的。對於很多不正規的平臺來説,甚至可能連借款方名稱等基本資訊都拒絕公開。
不過,信披無標準的混亂時光也許很快就要被終結。有消息稱網際網路金融行業未來將實行負面清單制,對於資訊披露也有要求。整體看來,在資訊披露方面,監管未提及分級管理,而是要求向出借人充分披露融資方基本資訊,包括年收入、主要債務、信用報告;融資項目基本資訊,包括項目的主要內容、還款來源、融資用途、金額、期限、利率、信用評級情況等,也要披露融資方已有的債務資訊。網際網路金融平臺應對出借人和借款人的資格條件、資訊真實性、融資項目真實性等進行必要審核。如果發現欺詐行為,應及時公告並終止網路借貸活動。網際網路金融平臺還應以醒目的方式提示網路借貸風險。此外,平臺自身也需要進行披露資訊。主要包括,交易金額、交易筆數、借款餘額、最大借款單戶餘額佔比、借款逾期金額、代償金額、借貸逾期率、借貸壞賬率、出借人數量、借款人數量等資訊。同時,也要披露年報、經審計過的財務報表、與存管機構合作情況等。