對于互聯(lián)網(wǎng)用戶而言��,網(wǎng)絡(luò)安全至關(guān)重要。而隨著越來越多人通過線上進(jìn)行投資理財���,更是將網(wǎng)絡(luò)安全推到了高潮�。在補(bǔ)天漏洞響應(yīng)平臺上�����,浙江一家互聯(lián)網(wǎng)金融平臺——銅掌柜被爆出存在系統(tǒng)安全問題���,導(dǎo)致平臺60萬用戶大量敏感信息泄露��。
信息泄露
對于互聯(lián)網(wǎng)用戶而言��,網(wǎng)絡(luò)安全至關(guān)重要��。而隨著越來越多人通過線上進(jìn)行投資理財�,更是將網(wǎng)絡(luò)安全推到了高潮�����。在補(bǔ)天漏洞響應(yīng)平臺上��,浙江一家互聯(lián)網(wǎng)金融平臺——銅掌柜被爆出存在系統(tǒng)安全問題���,導(dǎo)致平臺60萬用戶大量敏感信息泄露���。
針對此事,《中國經(jīng)營報》記者隨后多次致電銅掌柜市場部和媒體公關(guān)部��,卻一直未有人接通�。在致電客服后,對方表示�����,記者所發(fā)送的采訪郵件已經(jīng)轉(zhuǎn)至相關(guān)部門�。不過,截至發(fā)稿前�����,記者仍未收到公司的相關(guān)回復(fù)前�。此外,記者發(fā)現(xiàn)平臺標(biāo)的信息披露過少��,而資金托管機(jī)構(gòu)也未明確���。
被定性高危漏洞
根據(jù)補(bǔ)天漏洞響應(yīng)平臺披露的信息顯示��,銅掌柜漏洞打包泄漏60萬用戶的姓名��、手機(jī)�、銀行卡和密碼。該漏洞提交于12月1日����,被定性為事件型漏洞,官方評級高危�����,目前仍處于通知廠商中�����。
據(jù)悉����,補(bǔ)天漏洞響應(yīng)平臺對漏洞的定義分為通用漏洞與事件漏洞兩種。其中��,事件漏洞(即非通用型漏洞)����,主要是指互聯(lián)網(wǎng)上應(yīng)用的一個具體漏洞�,例如�����,某網(wǎng)站命令執(zhí)行可被滲透����、某電商訂單泄露任意充值����、某網(wǎng)站應(yīng)用SQL注入可導(dǎo)致信息泄露等等。
12月14日��,國家互聯(lián)網(wǎng)應(yīng)急中心也對該漏洞進(jìn)行了回復(fù):“CNVD(即國家信息安全漏洞共享平臺)確認(rèn)所述情況���,已由CNVD通過網(wǎng)站管理方公開聯(lián)系渠道向其郵件通報��,由其后續(xù)提供解決方案����。”
在銅掌柜官網(wǎng)的“安全保障”一欄中���,其宣傳表示:“不僅為用戶提供金融信息服務(wù)���,也保障用戶的信息與資金安全�。銅掌柜采用128位安全加密技術(shù)與安全認(rèn)證體系�,保障數(shù)據(jù)與資金安全,并嚴(yán)格遵守所有關(guān)于可辨識個人信息保存的法規(guī)要求��,確保投資人提供的所有信息都能得到機(jī)密保護(hù)�����。”
盡管官網(wǎng)上宣稱其平臺有多重認(rèn)證和加密��,然而銅掌柜仍被爆出系統(tǒng)存在漏洞��,導(dǎo)致用戶信息遭到泄露��。實際上�����,互聯(lián)網(wǎng)金融平臺系統(tǒng)存在漏洞�����,進(jìn)而被黑客攻擊的案例不在少數(shù)。由于黑客攻擊造成系統(tǒng)癱瘓���、惡意篡改���、資金被洗劫一空等,甚至出現(xiàn)不少平臺因為黑客攻擊而面臨倒閉���。
資深業(yè)內(nèi)人士梅州評對本報記者表示,一般投資理財平臺���,在用戶注冊時都會收集用戶姓名���、身份證號、手機(jī)號碼���、銀行卡號���、甚至銀行卡密碼等大量敏感信息,如果這些信息曝露給不法分子���,后者可能會利用這些泄露數(shù)據(jù)通過一些科技手段復(fù)制他人的證件或設(shè)備�����,登錄泄密平臺��,竊取用戶賬戶內(nèi)的留存資金�,給用戶和平臺造成巨大的資金風(fēng)險。
“實際上��,從技術(shù)角度來說����,是沒有絕對安全的平臺,平臺應(yīng)該根據(jù)運(yùn)營的實際情況不斷增加在系統(tǒng)安全方面的投入���,以防止因為黑客攻擊造成的用戶信息泄露����。除此之外��,還有其他非技術(shù)因素造成的用戶信息泄露情況���。比如平臺相關(guān)技術(shù)從業(yè)人員惡意泄露用戶信息��,也是一個很難把控的安全問題�����,對于這樣的問題�����,平臺只有不斷完善相關(guān)信息加密保護(hù)的制度���,才能防止因為從業(yè)人員的道德風(fēng)險造成的平臺用戶數(shù)據(jù)泄露�����。”梅州評認(rèn)為,作為信息技術(shù)平臺��,技術(shù)安全是最基本的要求���,平臺和投資者都不應(yīng)該忽視����。
信披不足
資料顯示����,銅掌柜平臺運(yùn)營主體為杭州銅米互聯(lián)網(wǎng)金融服務(wù)有限公司���,是浙江首批獲得“互聯(lián)網(wǎng)金融服務(wù)”資質(zhì)的公司之一,目前已獲上市公司中來股份(300393.SZ)戰(zhàn)略入股���。公司成立于2014年7月���,注冊資本3000萬元,法人代表張焱��,業(yè)務(wù)主體包括跨境電商�、融資租賃、供應(yīng)鏈金融�、消費(fèi)分期等。截至目前����,累計投資金額37.5億元,活躍用戶數(shù)60.9萬人�,平均借款周期1個月,平均年化收益10.2%���。
銅掌柜旗下有三款產(chǎn)品�,銅錢寶是銅掌柜推出的一款活期理財產(chǎn)品;銅信寶是固收理財產(chǎn)品;銅政寶則是與當(dāng)?shù)卣Y子公司及證券公司發(fā)行管理的資產(chǎn)管理計劃掛鉤��。
經(jīng)查閱銅掌柜官網(wǎng),記者發(fā)現(xiàn)平臺對于資金托管機(jī)構(gòu)并未明確披露�。在其官網(wǎng)中的“掌柜吧”上,有投資者發(fā)帖詢問“銅掌柜是什么銀行資金托管”����,一位客服回復(fù)稱,“目前銀行托管政策沒有出來����,所以沒有托管銀行,資產(chǎn)由四大行之一的銀行監(jiān)管(因為同銀行有君子協(xié)議����,故不對外公示)。”
記者致電銅掌柜客服���,詢問“目前是否有資金托管”時,對方表示�,“我們這邊是銀行進(jìn)行監(jiān)管的,銀行監(jiān)管就是我們的資金進(jìn)出都是通過第三方的�,然后資金也是在銀行進(jìn)行監(jiān)管,而且我們的賬戶資金安全由中國人保承包�。”
梅州評認(rèn)為,不管是銀行托管還是第三方支付托管��,作為平臺方都應(yīng)公開這方面的具體信息,不應(yīng)以其他理由拒絕公開���。另外�����,任何一家平臺上的用戶資金都是在銀行系統(tǒng)里面流通的�,不管托管還是監(jiān)管或是存管都是如此�。
“某些平臺以此大肆宣傳,只是對投資者玩了一個文字游戲�。托管和存管(監(jiān)管)差別是很大的,哪怕是第三方支付的托管也比一般意義的存管安全性要高一點(diǎn)�����,銅掌柜目前采用的認(rèn)證支付和網(wǎng)關(guān)支付模式�����,實際上就是資金池管理模式��,風(fēng)險很高���。”一位不愿具名的業(yè)內(nèi)人士對記者表示���。
該業(yè)內(nèi)人士還表示���,此外,保險和P2P平臺的合作險種有以下幾種:履約保證保險�����、風(fēng)險準(zhǔn)備金管理保險����、賬戶安全險、交易資金損失險���、借款人意外險及抵押物滅失險�。其中以履約保證險最為重要����,因為此險種才真正起到了保險公司為平臺項目最終兜底的作用,其他險種都是相對很次要的險種�,意義不大���,但是一些平臺在投保了除履約保證險之外的險種后���,對外大肆宣傳和保險有合作�,以此給投資者一個保險兜底的假象�����,實際上已經(jīng)涉及虛假宣傳�����。
此外�,記者查閱多個“銅政寶”借款標(biāo)的后發(fā)現(xiàn),項目信息中所披露的信息較少����。以《借款合同》為例,除了借款金額有披露外�,包括合同編號、公章在內(nèi)的一切信息全部被打上馬賽克����。
由于無信披標(biāo)準(zhǔn),大多數(shù)網(wǎng)貸平臺信披不充分的問題一直飽受詬病�����。資深從業(yè)人士張朝陽對記者表示,很多平臺的信息披露程度取決于平臺老板的意愿����,越是正規(guī)的平臺所披露的信息也是越健全的。對于很多不正規(guī)的平臺來說�����,甚至可能連借款方名稱等基本信息都拒絕公開��。
不過�����,信披無標(biāo)準(zhǔn)的混亂時光也許很快就要被終結(jié)���。有消息稱互聯(lián)網(wǎng)金融行業(yè)未來將實行負(fù)面清單制��,對于信息披露也有要求��。整體看來��,在信息披露方面����,監(jiān)管未提及分級管理����,而是要求向出借人充分披露融資方基本信息,包括年收入�、主要債務(wù)、信用報告;融資項目基本信息����,包括項目的主要內(nèi)容、還款來源�����、融資用途�����、金額�、期限、利率����、信用評級情況等�����,也要披露融資方已有的債務(wù)信息�����?����;ヂ?lián)網(wǎng)金融平臺應(yīng)對出借人和借款人的資格條件�、信息真實性�����、融資項目真實性等進(jìn)行必要審核����。如果發(fā)現(xiàn)欺詐行為,應(yīng)及時公告并終止網(wǎng)絡(luò)借貸活動�。互聯(lián)網(wǎng)金融平臺還應(yīng)以醒目的方式提示網(wǎng)絡(luò)借貸風(fēng)險�����。此外,平臺自身也需要進(jìn)行披露信息��。主要包括����,交易金額�����、交易筆數(shù)�����、借款余額����、最大借款單戶余額占比、借款逾期金額���、代償金額����、借貸逾期率�����、借貸壞賬率、出借人數(shù)量��、借款人數(shù)量等信息�����。同時��,也要披露年報�����、經(jīng)審計過的財務(wù)報表�����、與存管機(jī)構(gòu)合作情況等�。
