銅掌柜系統(tǒng)存漏洞 60萬用戶信息遭泄露

對于互聯(lián)網(wǎng)用戶而言，網(wǎng)絡(luò)安全至關(guān)重要。而隨著越來越多人通過線上進(jìn)行投資理財，更是將網(wǎng)絡(luò)安全推到了高潮。在補(bǔ)天漏洞響應(yīng)平臺上，浙江一家互聯(lián)網(wǎng)金融平臺--銅掌柜被爆出存在系統(tǒng)安全問題，導(dǎo)致平臺60萬用戶大量敏感信息泄露。

針對此事，《中國經(jīng)營報》記者隨后多次致電銅掌柜市場部和媒體公關(guān)部，卻一直未有人接通。在致電客服后，對方表示，記者所發(fā)送的采訪郵件已經(jīng)轉(zhuǎn)至相關(guān)部門。不過，截至發(fā)稿前，記者仍未收到公司的相關(guān)回復(fù)前。此外，記者發(fā)現(xiàn)平臺標(biāo)的信息披露過少，而資金托管機(jī)構(gòu)也未明確。

被定性高危漏洞

根據(jù)補(bǔ)天漏洞響應(yīng)平臺披露的信息顯示，銅掌柜漏洞打包泄漏60萬用戶的姓名、手機(jī)、銀行卡和密碼。該漏洞提交于12月1日，被定性為事件型漏洞，官方評級高危，目前仍處于通知廠商中。

據(jù)悉，補(bǔ)天漏洞響應(yīng)平臺對漏洞的定義分為通用漏洞與事件漏洞兩種。其中，事件漏洞（即非通用型漏洞），主要是指互聯(lián)網(wǎng)上應(yīng)用的一個具體漏洞，例如，某網(wǎng)站命令執(zhí)行可被滲透、某電商訂單泄露任意充值、某網(wǎng)站應(yīng)用SQL注入可導(dǎo)致信息泄露等等。

12月14日，國家互聯(lián)網(wǎng)應(yīng)急中心也對該漏洞進(jìn)行了回復(fù)：“CNVD（即國家信息安全漏洞共享平臺）確認(rèn)所述情況，已由CNVD通過網(wǎng)站管理方公開聯(lián)系渠道向其郵件通報，由其后續(xù)提供解決方案?！?/p>

在銅掌柜官網(wǎng)的“安全保障”一欄中，其宣傳表示：“不僅為用戶提供金融信息服務(wù)，也保障用戶的信息與資金安全。銅掌柜采用128位安全加密技術(shù)與安全認(rèn)證體系，保障數(shù)據(jù)與資金安全，并嚴(yán)格遵守所有關(guān)于可辨識個人信息保存的法規(guī)要求，確保投資人提供的所有信息都能得到機(jī)密保護(hù)?！?/p>

盡管官網(wǎng)上宣稱其平臺有多重認(rèn)證和加密，然而銅掌柜仍被爆出系統(tǒng)存在漏洞，導(dǎo)致用戶信息遭到泄露。實(shí)際上，互聯(lián)網(wǎng)金融平臺系統(tǒng)存在漏洞，進(jìn)而被黑客攻擊的案例不在少數(shù)。由于黑客攻擊造成系統(tǒng)癱瘓、惡意篡改、資金被洗劫一空等，甚至出現(xiàn)不少平臺因?yàn)楹诳凸舳媾R倒閉。

資深業(yè)內(nèi)人士梅州評對本報記者表示，一般投資理財平臺，在用戶注冊時都會收集用戶姓名、身份證號、手機(jī)號碼、銀行卡號、甚至銀行卡密碼等大量敏感信息，如果這些信息曝露給不法分子，后者可能會利用這些泄露數(shù)據(jù)通過一些科技手段復(fù)制他人的證件或設(shè)備，登錄泄密平臺，竊取用戶賬戶內(nèi)的留存資金，給用戶和平臺造成巨大的資金風(fēng)險。

“實(shí)際上，從技術(shù)角度來說，是沒有絕對安全的平臺，平臺應(yīng)該根據(jù)運(yùn)營的實(shí)際情況不斷增加在系統(tǒng)安全方面的投入，以防止因?yàn)楹诳凸粼斐傻挠脩粜畔⑿孤?。除此之外，還有其他非技術(shù)因素造成的用戶信息泄露情況。比如平臺相關(guān)技術(shù)從業(yè)人員惡意泄露用戶信息，也是一個很難把控的安全問題，對于這樣的問題，平臺只有不斷完善相關(guān)信息加密保護(hù)的制度，才能防止因?yàn)閺臉I(yè)人員的道德風(fēng)險造成的平臺用戶數(shù)據(jù)泄露?！泵分菰u認(rèn)為，作為信息技術(shù)平臺，技術(shù)安全是最基本的要求，平臺和投資者都不應(yīng)該忽視。

信披不足

資料顯示，銅掌柜平臺運(yùn)營主體為杭州銅米互聯(lián)網(wǎng)金融服務(wù)有限公司，是浙江首批獲得“互聯(lián)網(wǎng)金融服務(wù)”資質(zhì)的公司之一，目前已獲上市公司中來股份（300393.SZ）戰(zhàn)略入股。公司成立于2014年7月，注冊資本3000萬元，法人代表張焱，業(yè)務(wù)主體包括跨境電商、融資租賃、供應(yīng)鏈金融、消費(fèi)分期等。截至目前，累計投資金額37.5億元，活躍用戶數(shù)60.9萬人，平均借款周期1個月，平均年化收益10.2%.

銅掌柜旗下有三款產(chǎn)品，銅錢寶是銅掌柜推出的一款活期理財產(chǎn)品；銅信寶是固收理財產(chǎn)品；銅政寶則是與當(dāng)?shù)卣Y子公司及證券公司發(fā)行管理的資產(chǎn)管理計劃掛鉤。

經(jīng)查閱銅掌柜官網(wǎng)，記者發(fā)現(xiàn)平臺對于資金托管機(jī)構(gòu)并未明確披露。在其官網(wǎng)中的“掌柜吧”上，有投資者發(fā)帖詢問“銅掌柜是什么銀行資金托管”,一位客服回復(fù)稱，“目前銀行托管政策沒有出來，所以沒有托管銀行，資產(chǎn)由四大行之一的銀行監(jiān)管（因?yàn)橥y行有君子協(xié)議，故不對外公示）?！?/p>

記者致電銅掌柜客服，詢問“目前是否有資金托管”時，對方表示，“我們這邊是銀行進(jìn)行監(jiān)管的，銀行監(jiān)管就是我們的資金進(jìn)出都是通過第三方的，然后資金也是在銀行進(jìn)行監(jiān)管，而且我們的賬戶資金安全由中國人保承包?！?/p>

梅州評認(rèn)為，不管是銀行托管還是第三方支付托管，作為平臺方都應(yīng)公開這方面的具體信息，不應(yīng)以其他理由拒絕公開。另外，任何一家平臺上的用戶資金都是在銀行系統(tǒng)里面流通的，不管托管還是監(jiān)管或是存管都是如此。

“某些平臺以此大肆宣傳，只是對投資者玩了一個文字游戲。托管和存管（監(jiān)管）差別是很大的，哪怕是第三方支付的托管也比一般意義的存管安全性要高一點(diǎn)，銅掌柜目前采用的認(rèn)證支付和網(wǎng)關(guān)支付模式，實(shí)際上就是資金池管理模式，風(fēng)險很高?！币晃徊辉妇呙臉I(yè)內(nèi)人士對記者表示。

該業(yè)內(nèi)人士還表示，此外，保險和P2P平臺的合作險種有以下幾種：履約保證保險、風(fēng)險準(zhǔn)備金管理保險、賬戶安全險、交易資金損失險、借款人意外險及抵押物滅失險。其中以履約保證險最為重要，因?yàn)榇穗U種才真正起到了保險公司為平臺項(xiàng)目最終兜底的作用，其他險種都是相對很次要的險種，意義不大，但是一些平臺在投保了除履約保證險之外的險種后，對外大肆宣傳和保險有合作，以此給投資者一個保險兜底的假象，實(shí)際上已經(jīng)涉及虛假宣傳。

此外，記者查閱多個“銅政寶”借款標(biāo)的后發(fā)現(xiàn)，項(xiàng)目信息中所披露的信息較少。以《借款合同》為例，除了借款金額有披露外，包括合同編號、公章在內(nèi)的一切信息全部被打上馬賽克。

由于無信披標(biāo)準(zhǔn)，大多數(shù)網(wǎng)貸平臺信披不充分的問題一直飽受詬病。資深從業(yè)人士張朝陽對記者表示，很多平臺的信息披露程度取決于平臺老板的意愿，越是正規(guī)的平臺所披露的信息也是越健全的。對于很多不正規(guī)的平臺來說，甚至可能連借款方名稱等基本信息都拒絕公開。

不過，信披無標(biāo)準(zhǔn)的混亂時光也許很快就要被終結(jié)。有消息稱互聯(lián)網(wǎng)金融行業(yè)未來將實(shí)行負(fù)面清單制，對于信息披露也有要求。整體看來，在信息披露方面，監(jiān)管未提及分級管理，而是要求向出借人充分披露融資方基本信息，包括年收入、主要債務(wù)、信用報告；融資項(xiàng)目基本信息，包括項(xiàng)目的主要內(nèi)容、還款來源、融資用途、金額、期限、利率、信用評級情況等，也要披露融資方已有的債務(wù)信息?；ヂ?lián)網(wǎng)金融平臺應(yīng)對出借人和借款人的資格條件、信息真實(shí)性、融資項(xiàng)目真實(shí)性等進(jìn)行必要審核。如果發(fā)現(xiàn)欺詐行為，應(yīng)及時公告并終止網(wǎng)絡(luò)借貸活動。互聯(lián)網(wǎng)金融平臺還應(yīng)以醒目的方式提示網(wǎng)絡(luò)借貸風(fēng)險。此外，平臺自身也需要進(jìn)行披露信息。主要包括，交易金額、交易筆數(shù)、借款余額、最大借款單戶余額占比、借款逾期金額、代償金額、借貸逾期率、借貸壞賬率、出借人數(shù)量、借款人數(shù)量等信息。同時，也要披露年報、經(jīng)審計過的財務(wù)報表、與存管機(jī)構(gòu)合作情況等。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。