賬戶被盜：同花順事件波及十多家券商 你的賬戶安全嗎？

　　盤點過去一週的行業熱點，股民“賬號被盜高位接盤”的奇葩劇情仍處於C位。

　　近日，有一些股民反映證券賬戶被盜用，不僅賣出原有持倉股票，更大量買入次日一字跌停的濟民制藥。開戶券商雖然不同，但使用同花順軟體是投資者的共同點之一，因此投資者們也將矛頭對準了同花順。此後，同花順也對此作出聲明，稱“網路傳言與事實不符”，呼籲用戶加強賬戶安全防範意識。

　　在受害者報警、券商配合調查、同花順自證清白之際，關於此次風險事件的産生卻在業內引發一場大討論，更有多家券商通過各種方式提醒投資者注意安全。同時，券商與第三方軟體的“相愛相殺”，也被不斷復盤。有業內人士認為，與第三方的開戶導流合作終非長久之計，通過加大資訊技術實現“自力更生”，將是中小券商APP建設的應有之義。

　　昔日被券商視為“小甜甜”的第三方軟體，如今將淪為“牛夫人”?

　　“盜號”案情引發券業討論

　　雖然現在案情仍在調查當中，但由於此次同花順“盜號”風波劇情的跌宕起伏，仍在券商業內引起熱議。

　　根據此前投資者曬出的求助資訊來看，僅其羅列的7名投資者，預估損失額就已超過百萬，7每人平均屬不同券商。

　　有券商經紀業務人士向券商中國記者介紹，目前了解到的涉及投資者已有三十多人，涉及十幾家券商，從頭部券商到中小券商都有，投資者大多已報案。“這個事其實並不難查，根據IP地址順藤摸瓜，相信近期就能水落石出”。

　　“現在網上有許多投訴，説剛開完戶就被詐騙電話騷擾，如推牛股、帶看盤等，以此認為是券商出賣了客戶資訊。”一家中型券商網金部門人士向券商中國記者介紹，無論是由於監管規定、客戶體驗還是收益的性價比，券商都不可能做出這種“自毀長城”的事，需要思考的反而是運營商或其他相關方是否可能存在洩露用戶資訊的情況。

　　例如，客戶開戶時，券商需要通過短信向客戶發送驗證資訊以及資金賬號，如果“有心人”加以利用並出售，則犯罪分子即可輕鬆獲取用戶的手機號、資金賬號等資訊。

　　而在獲得相關資訊後，犯罪分子即可以開始詐騙歷程，也就是投資者平時經常經歷的騷擾電話，以開戶券商的名義哄騙投資者加群。這也正是同花順所言的“部分投資者因為在炒股微信群裏被騙”。

　　“實際上，有時候無需真的交出資金賬號和密碼。像這種進群‘學習’或者跟隨交易，所謂的老師或者助理一般會給出相關網站或者軟體要求投資者註冊，由於大家日常的行為慣性，網站註冊的密碼與交易密碼重合的概率頗高，且犯罪分子可按照交易密碼的設置規律進行設計，上當的幾率頗高”，上述網金人士分析。當然，也存在犯罪分子在獲取資金賬號後採取“撞庫”的方式破解密碼的可能性，但難度相對較大。

　　根據目前多名投資者反饋的資訊，被盜賬戶均發生異常設備異地登錄，相關IP地址均指向廣東省某地。而關於為何通過同花順進行惡意買入，有經紀業務人士認為，理由也比較單純──同花順可同時相容多家券商賬號登錄，“不見得犯罪分子還要挨個下載券商的APP再進行操作，當然是選擇第三方軟體進行統一操作。”

　　對於受害的投資者來説，其重要異議在於，在賬號異地登陸之時，同花順未通過驗證短信提醒。並且，軟體賬號和資金賬號可以同時登陸的問題，也是投資者認為同花順設置不合理、存在安全隱患之處。

　　北京一家中型券商互金業務人士介紹，目前券商APP對異地登陸大多未設置障礙，更多的是APP內提醒。“在技術上並非不能實現，但異地登錄的需求本身比較大，有一些老賬戶甚至沒有綁定手機號，發送短信也起不到提醒作用。”

　　另外，針對部分投資者所言，係駭客盜取同花順賬號密碼並使用保存的資金賬號密碼進行下單，有數名業內人士對記者表示可能性並不大。一方面是在技術方面並不容易實現；另外一方面，“如果是成功破解同花順用戶的賬號密碼，那涉案人數和資金量都不會是現在的水準，如果後續還有大量投資者參與投訴，或許將考慮這一可能。”

　　此外，業內提供的另外一個思路是源於民間配資。由於此前證券賬戶管理不嚴，不少營業部通過各種方式掌握著大量的“空賬戶”，用於出借配合融資、配資等隱秘活動。有業內人士提出，存在地方營業部配合莊家出貨的可能，但具體情況仍需司法調查。

　　券商紛紛發佈風險提示

　　“盜號”事件不斷發酵之下，各家券商在“吃瓜”之餘，也不忘自己的本行工作。有則改之，無則加勉，在風險事件爆發後，無論是否與自家相關，客戶風險提示工作做到位總是沒錯的。

　　例如，4月12日下午，東興證券官方微信號即發佈風險提示，提醒投資者注意賬戶安全。

　　具體來看，東興證券從四方面提醒投資者提高防範意識。一是對賬戶進行全面安全檢查，及時更新系統及殺毒軟體、查殺電腦病毒、修復系統漏洞；二是確認交易軟體是從官網下載並保持及時的同步升級，密碼設置需滿足必要的強度要求且定期更換；三是不要使用他人手機登錄賬戶，不要在網吧等公共區域聯網進行交易，注意WiFi安全；四是防範虛假客服、虛假諮詢機構，謹防上當受騙。

　　從推送頻率來看，東興證券官方微信號上一次推送還是在3月24日，在此時提醒投資者注意賬戶安全，無疑與此次同花順傳出“盜號”風波相關。

　　4月13日，華福證券也在官方公眾號上進行推送，提醒客戶妥善保管賬號和密碼，並推薦下載自家的官方交易軟體。此外，華福證券還對大量詐騙“套路”進行提醒並附以溫馨提示，請投資者提高安全防範意識。

　　事實上，在此次風波之下，已有多家券商做出反應。例如，財通證券相關負責人向券商中國記者介紹，財通證券目前已採用動態驗證碼、動態密碼等方式確保客戶賬戶安全，並將進一步加強系統安全措施。近期，財通證券還將提醒投資者加強防範意識，呼籲用戶加強防範意識，包括建議設置強密碼、定期更改密碼等，將賬戶安全落實到實處。

　　不過，也有券商網點表示，在事件尚未明晰的情況下，且同花順已進行官方辟謠，暫時不考慮進行風險提示。

　　“從安全性的角度考慮，還是肯定還是使用證券公司自行開發的APP比較安全。”中部一家券商技術人士表示，即便是普通的6位密碼，在用戶輸入後也是加密後再輸送給後臺，並以加密的密文詞沉下來。從券商手機端APP到後臺伺服器這條通道是全程加密的，從外部很難破解。

　　而通過同花順終端進行下單，在系統中保存資金賬號及密碼後，相應數據也留在其伺服器中。同花順通過交易前置終端與不同的券商進行直連。“任何一個人登陸同花順，都可以實現下單，這樣還是有一定的安全隱患。”上述券商技術人士説。

　　同花順：網路謠言與事實不符

　　同樣作為A股上市公司，同花順近期在深交所互動易平臺上已被大量投資者“圍追堵截”。

　　對於此次風波，同花順也給出了自己的解釋：部分投資者安全防範意識不夠導致資金賬戶、密碼洩露。其認為，部分投資者因為在炒股微信群裏被騙或其他各種原因洩露了證券公司的交易賬號和密碼，導致盜買盜賣的發生。

　　同花順表示，防範證券犯罪，是證券行業共同面臨的挑戰。如果客戶確信不是自己操作從而發生盜買盜賣情況下，建議立即報警。同花順將聯合券商提供充分的幫助。必要時，同花順可以提供法律援助。

　　另外，此前被大量客戶所詬病的“販賣個人資訊”問題，同花順官微也借此次風波之際做出解釋。其稱，經核實後類似的推銷電話99%以上是冒充同花順公司的，並提醒投資者注意，凡是陌生人要求客戶加群推薦股票的，一般都是詐騙電話。從內容上看，仍是對此次“盜號”事件的呼應。

　　值得注意的是，同花順在聲明中強調，“本次事件發酵的背後，有些機構和單位在幕後推動”。同花順呼籲，證券行業攜手應對共同打擊證券違法犯罪行為，而不應再煽風點火，甚至無中生有協助不法分子轉移視線。

　　“幕後推動”者是誰？對此同花順方面並未過多解讀。業內人士稱，不過可想而知，其競爭對手與不再合作的機構或許當屬之列。

　　調取同花順的委託下單界面來看，當前可選擇券商多達70余家，中信證券、國泰君安、申萬宏源、中信建投等大型券商均在列，一眾中小券商更是鮮有“掉隊”。

　　不過，上述可添加券商未必是當前與同花順展開闔作的所有券商。有券商技術人士介紹，有不少券商已經選擇撤掉與同花順之間的直連。“一方面是考慮安全性的問題，另外也是與同花順的佣金分成問題，感覺最後也沒賺到多少錢。”

　　根據同花順2019年年報披露的風險提示，其現有的金融資訊服務必須基於網際網路提供，因此必須確保相關電腦系統和數據的安全。然而，設備故障、軟體漏洞、網路攻擊以及自然災害等因素客觀存在。上述風險一旦發生，客戶將無法及時享受公司的增值服務，嚴重時可能造成業務中斷，從而影響聲譽和經營業績，甚至引起法律訴訟。

　　在應對方面，同花順表示，其建立了安全完善的伺服器系統和數據存儲保障制度，設立了災難備份中心，以確保系統和數據的穩定和安全。不過，同花順也坦言，“在當前網路環境下，任何一個IT系統都可能面臨安全問題”。

　　除了H5頁面的方式外，同花順與券商大多采用交易直連的模式進行合作。券商中國記者獲悉，有同花順銷售人員在向券商談合作時，以頭部券商的參與模式作為案例推介，並宣稱“沒有任何風險，客戶轉化率都很高”。

　　而對於此次同花順風波，儼然已經成了不少券商“召回”客戶的重要契機。有不少經紀業務人員借機推銷自家券商APP，“不和同花順合作”反而成了賣點之一。

愛恨交加的第三方

　　即便是在同花順“義正言辭”之下，此次“盜號”風波仍給其公司形象和品牌口碑造成了一定影響。而對於證券行業與同花順之間的愛恨情仇，也在近期被不斷重新復盤。

　　回顧證券行業的草莽江湖年代，同花順憑藉強大的資訊和功能優勢，在股民中“圈粉”無數。彼時，在券商還處於“佣金戰”、“客戶戰”、“流量戰”的混戰當中，爭取網路流量成了不少券商的首選。

　　長期以來，除了資訊等服務外，各家券商與同花順的合作多是追求其帶來的流量資源。對於同花順、雪球等依靠資訊、服務起家的網際網路金融服務企業來説，無論是內容服務還是諮詢，都難以提供穩定的營收，通過推薦開戶賺取佣金則成了順理成章的選擇。

　　對中小券商來説，引流獲客的成本本來就不低，且自己做效果也不一定好。在自身技術實力微薄之下，依靠用戶流量具有絕對優勢的第三方也在情理之中。“依靠同花順等交易軟體獲得流量也是沒辦法的事情，即便佣金分成較高，也總比一無所有要強。”然而，與第三方的合作勢必是一把雙刃劍。一旦客戶形成使用同花順APP的習慣，券商自家APP就更難吸引客戶回歸，這對中小券商來説尤甚。

　　早在2015年配資引發市場異動之時，監管部門已開始出手規範券商與第三方平臺的業務邊界。有大型券商曾表示，監管部門要求其通過自身運營管理的資訊系統直接接收客戶交易指令，因此關閉了第三方入口。

　　2015年6月，證監會曾發佈《證券公司外部接入資訊系統評估認證規範》。證券公司使用外部接入資訊系統，證券交易指令必須在證券公司自主控制的系統內全程處理，即從客戶端發出的交易指令處理應僅在發起交易的投資者與證券公司之間進行，其間任何其他主體不得對交易指令進行發起、接收、轉發、修改、落地保存或截留。

　　此後，在2019年6月施行的《證券基金經營機構資訊技術管理辦法》中，監管對此進一步明確：除法律法規及證監會另有規定外，證券基金經營機構應當通過自身運營管理的資訊系統直接接收客戶交易指令，並記錄客戶交易指令接收時間。

　　當然，除了系統賬戶安全等方面的考慮，2017年年中，同花順被曝出在券商中“倒賣”客戶事件，向高佣金客戶建議到其他低佣金券商開戶，並附帶開戶跳轉連結。這也是部分券商選擇與同花順停止合作的理由之一。

　　在與第三方的“相愛相殺”之際，多家大型券商早就預料到，與同花順的開戶導流合作非長久之計，客戶資料和交易資訊都經過同花順，一旦留痕是可以作為資訊“倒賣”的。在業內，海通證券和華泰證券兩家拒不接入同花順已是“名聲在外”。有知情人士稱，“此前不接入同花順是劣勢，這次反而變成了優勢”。

　　以海通證券自主研發的“e海通財”為例，據2019年年報顯示，其APP 用戶超過3200萬，月均平臺活躍數超過350萬，海通證券非現場業務量佔比達到99.4%。另外，e海通財的子交易系統投資軟體e海方舟推出括閃電交易、套利交易、組合交易、策略演算法等服務功能，報告期內月均交易量同比增加1.4倍、月均客戶資産同比增加1.9倍。

　　近年來，各家券商發力資訊技術投入的趨勢相當明顯。就目前上市券商披露情況來看，華泰證券、國泰君安兩家的資訊技術投入分別為14.25億元、11.17億元，領跑全行業。此外，廣發證券(8.05億元)、海通證券(7.8億元)、國信證券(6.96億元)、招商證券(6.53億元)、中信建投(6.06億元)、東方證券(5.86億元)、申萬宏源(5.63億元)7家的投入也超過5億元。與2018年情況相比，增幅相當明顯。

　　在此次“盜號”風波之下，業內關於同花順等第三方的討論也更加深入，相關管理辦法呼之欲出。在風險責任厘清後，投資者利益也將得到更好的保護。