銅掌柜系統(tǒng)存漏洞 60萬用戶信息遭泄露

對于互聯(lián)網(wǎng)用戶而言,網(wǎng)絡(luò)安全至關(guān)重要。而隨著越來越多人通過線上進(jìn)行投資理財,更是將網(wǎng)絡(luò)安全推到了高潮。在補(bǔ)天漏洞響應(yīng)平臺上,浙江一家互聯(lián)網(wǎng)金融平臺--銅掌柜被爆出存在系統(tǒng)安全問題,導(dǎo)致平臺60萬用戶大量敏感信息泄露。

針對此事,《中國經(jīng)營報》記者隨后多次致電銅掌柜市場部和媒體公關(guān)部,卻一直未有人接通。在致電客服后,對方表示,記者所發(fā)送的采訪郵件已經(jīng)轉(zhuǎn)至相關(guān)部門。不過,截至發(fā)稿前,記者仍未收到公司的相關(guān)回復(fù)前。此外,記者發(fā)現(xiàn)平臺標(biāo)的信息披露過少,而資金托管機(jī)構(gòu)也未明確。

被定性高危漏洞

根據(jù)補(bǔ)天漏洞響應(yīng)平臺披露的信息顯示,銅掌柜漏洞打包泄漏60萬用戶的姓名、手機(jī)、銀行卡和密碼。該漏洞提交于12月1日,被定性為事件型漏洞,官方評級高危,目前仍處于通知廠商中。

據(jù)悉,補(bǔ)天漏洞響應(yīng)平臺對漏洞的定義分為通用漏洞與事件漏洞兩種。其中,事件漏洞(即非通用型漏洞),主要是指互聯(lián)網(wǎng)上應(yīng)用的一個具體漏洞,例如,某網(wǎng)站命令執(zhí)行可被滲透、某電商訂單泄露任意充值、某網(wǎng)站應(yīng)用SQL注入可導(dǎo)致信息泄露等等。

12月14日,國家互聯(lián)網(wǎng)應(yīng)急中心也對該漏洞進(jìn)行了回復(fù):“CNVD(即國家信息安全漏洞共享平臺)確認(rèn)所述情況,已由CNVD通過網(wǎng)站管理方公開聯(lián)系渠道向其郵件通報,由其后續(xù)提供解決方案?!?/p>

在銅掌柜官網(wǎng)的“安全保障”一欄中,其宣傳表示:“不僅為用戶提供金融信息服務(wù),也保障用戶的信息與資金安全。銅掌柜采用128位安全加密技術(shù)與安全認(rèn)證體系,保障數(shù)據(jù)與資金安全,并嚴(yán)格遵守所有關(guān)于可辨識個人信息保存的法規(guī)要求,確保投資人提供的所有信息都能得到機(jī)密保護(hù)?!?/p>

盡管官網(wǎng)上宣稱其平臺有多重認(rèn)證和加密,然而銅掌柜仍被爆出系統(tǒng)存在漏洞,導(dǎo)致用戶信息遭到泄露。實(shí)際上,互聯(lián)網(wǎng)金融平臺系統(tǒng)存在漏洞,進(jìn)而被黑客攻擊的案例不在少數(shù)。由于黑客攻擊造成系統(tǒng)癱瘓、惡意篡改、資金被洗劫一空等,甚至出現(xiàn)不少平臺因為黑客攻擊而面臨倒閉。

資深業(yè)內(nèi)人士梅州評對本報記者表示,一般投資理財平臺,在用戶注冊時都會收集用戶姓名、身份證號、手機(jī)號碼、銀行卡號、甚至銀行卡密碼等大量敏感信息,如果這些信息曝露給不法分子,后者可能會利用這些泄露數(shù)據(jù)通過一些科技手段復(fù)制他人的證件或設(shè)備,登錄泄密平臺,竊取用戶賬戶內(nèi)的留存資金,給用戶和平臺造成巨大的資金風(fēng)險。

“實(shí)際上,從技術(shù)角度來說,是沒有絕對安全的平臺,平臺應(yīng)該根據(jù)運(yùn)營的實(shí)際情況不斷增加在系統(tǒng)安全方面的投入,以防止因為黑客攻擊造成的用戶信息泄露。除此之外,還有其他非技術(shù)因素造成的用戶信息泄露情況。比如平臺相關(guān)技術(shù)從業(yè)人員惡意泄露用戶信息,也是一個很難把控的安全問題,對于這樣的問題,平臺只有不斷完善相關(guān)信息加密保護(hù)的制度,才能防止因為從業(yè)人員的道德風(fēng)險造成的平臺用戶數(shù)據(jù)泄露。”梅州評認(rèn)為,作為信息技術(shù)平臺,技術(shù)安全是最基本的要求,平臺和投資者都不應(yīng)該忽視。

信披不足

資料顯示,銅掌柜平臺運(yùn)營主體為杭州銅米互聯(lián)網(wǎng)金融服務(wù)有限公司,是浙江首批獲得“互聯(lián)網(wǎng)金融服務(wù)”資質(zhì)的公司之一,目前已獲上市公司中來股份(300393.SZ)戰(zhàn)略入股。公司成立于2014年7月,注冊資本3000萬元,法人代表張焱,業(yè)務(wù)主體包括跨境電商、融資租賃、供應(yīng)鏈金融、消費(fèi)分期等。截至目前,累計投資金額37.5億元,活躍用戶數(shù)60.9萬人,平均借款周期1個月,平均年化收益10.2%.

銅掌柜旗下有三款產(chǎn)品,銅錢寶是銅掌柜推出的一款活期理財產(chǎn)品;銅信寶是固收理財產(chǎn)品;銅政寶則是與當(dāng)?shù)卣Y子公司及證券公司發(fā)行管理的資產(chǎn)管理計劃掛鉤。

經(jīng)查閱銅掌柜官網(wǎng),記者發(fā)現(xiàn)平臺對于資金托管機(jī)構(gòu)并未明確披露。在其官網(wǎng)中的“掌柜吧”上,有投資者發(fā)帖詢問“銅掌柜是什么銀行資金托管”,一位客服回復(fù)稱,“目前銀行托管政策沒有出來,所以沒有托管銀行,資產(chǎn)由四大行之一的銀行監(jiān)管(因為同銀行有君子協(xié)議,故不對外公示)?!?/p>

記者致電銅掌柜客服,詢問“目前是否有資金托管”時,對方表示,“我們這邊是銀行進(jìn)行監(jiān)管的,銀行監(jiān)管就是我們的資金進(jìn)出都是通過第三方的,然后資金也是在銀行進(jìn)行監(jiān)管,而且我們的賬戶資金安全由中國人保承包?!?/p>

梅州評認(rèn)為,不管是銀行托管還是第三方支付托管,作為平臺方都應(yīng)公開這方面的具體信息,不應(yīng)以其他理由拒絕公開。另外,任何一家平臺上的用戶資金都是在銀行系統(tǒng)里面流通的,不管托管還是監(jiān)管或是存管都是如此。

“某些平臺以此大肆宣傳,只是對投資者玩了一個文字游戲。托管和存管(監(jiān)管)差別是很大的,哪怕是第三方支付的托管也比一般意義的存管安全性要高一點(diǎn),銅掌柜目前采用的認(rèn)證支付和網(wǎng)關(guān)支付模式,實(shí)際上就是資金池管理模式,風(fēng)險很高。”一位不愿具名的業(yè)內(nèi)人士對記者表示。

該業(yè)內(nèi)人士還表示,此外,保險和P2P平臺的合作險種有以下幾種:履約保證保險、風(fēng)險準(zhǔn)備金管理保險、賬戶安全險、交易資金損失險、借款人意外險及抵押物滅失險。其中以履約保證險最為重要,因為此險種才真正起到了保險公司為平臺項目最終兜底的作用,其他險種都是相對很次要的險種,意義不大,但是一些平臺在投保了除履約保證險之外的險種后,對外大肆宣傳和保險有合作,以此給投資者一個保險兜底的假象,實(shí)際上已經(jīng)涉及虛假宣傳。

此外,記者查閱多個“銅政寶”借款標(biāo)的后發(fā)現(xiàn),項目信息中所披露的信息較少。以《借款合同》為例,除了借款金額有披露外,包括合同編號、公章在內(nèi)的一切信息全部被打上馬賽克。

由于無信披標(biāo)準(zhǔn),大多數(shù)網(wǎng)貸平臺信披不充分的問題一直飽受詬病。資深從業(yè)人士張朝陽對記者表示,很多平臺的信息披露程度取決于平臺老板的意愿,越是正規(guī)的平臺所披露的信息也是越健全的。對于很多不正規(guī)的平臺來說,甚至可能連借款方名稱等基本信息都拒絕公開。

不過,信披無標(biāo)準(zhǔn)的混亂時光也許很快就要被終結(jié)。有消息稱互聯(lián)網(wǎng)金融行業(yè)未來將實(shí)行負(fù)面清單制,對于信息披露也有要求。整體看來,在信息披露方面,監(jiān)管未提及分級管理,而是要求向出借人充分披露融資方基本信息,包括年收入、主要債務(wù)、信用報告;融資項目基本信息,包括項目的主要內(nèi)容、還款來源、融資用途、金額、期限、利率、信用評級情況等,也要披露融資方已有的債務(wù)信息?;ヂ?lián)網(wǎng)金融平臺應(yīng)對出借人和借款人的資格條件、信息真實(shí)性、融資項目真實(shí)性等進(jìn)行必要審核。如果發(fā)現(xiàn)欺詐行為,應(yīng)及時公告并終止網(wǎng)絡(luò)借貸活動。互聯(lián)網(wǎng)金融平臺還應(yīng)以醒目的方式提示網(wǎng)絡(luò)借貸風(fēng)險。此外,平臺自身也需要進(jìn)行披露信息。主要包括,交易金額、交易筆數(shù)、借款余額、最大借款單戶余額占比、借款逾期金額、代償金額、借貸逾期率、借貸壞賬率、出借人數(shù)量、借款人數(shù)量等信息。同時,也要披露年報、經(jīng)審計過的財務(wù)報表、與存管機(jī)構(gòu)合作情況等。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2015-12-21
銅掌柜系統(tǒng)存漏洞 60萬用戶信息遭泄露
對于互聯(lián)網(wǎng)用戶而言,網(wǎng)絡(luò)安全至關(guān)重要。而隨著越來越多人通過線上進(jìn)行投資理財,更是將網(wǎng)絡(luò)安全推到了高潮。在補(bǔ)天漏洞響應(yīng)平臺上,浙江一家互聯(lián)網(wǎng)金融平臺--銅掌柜被爆出存在系統(tǒng)安全問題,導(dǎo)致平臺60萬用戶大量敏感信息泄露。針對此事,《中國經(jīng)營報》記者隨后多次致電銅掌柜市場

長按掃碼 閱讀全文