本篇文章2712字,读完约7分钟
对于互联网用户来说,网络安全非常重要。随着越来越多的人在网上投资理财,网络安全被推到了一个高潮。在天空漏洞应对平台上,浙江互联网金融平台“铜掌柜”出现系统安全问题,导致平台60万用户大量敏感信息泄露。
对此,《中国商报》记者随后多次致电铜掌柜市场部和媒体公关部,但无人接听。打电话给客服后,对方说记者发的采访邮件已经转到相关部门了。然而,截至发稿时,记者仍未收到该公司的相关回复。此外,记者发现平台标的信息披露太少,基金托管机构不明确。
定性高风险脆弱性
根据田甜漏洞响应平台披露的信息,60万用户的姓名、手机、银行卡和密码在铜钱店主漏洞包中被泄露。该漏洞于12月1日提交,被描述为基于事件的漏洞。官方评级是高风险的,目前仍在通知制造商的过程中。
据报道,漏洞是由漏洞响应平台定义的,它分为两种类型:一般漏洞和事件漏洞。其中,事件漏洞(即非一般性漏洞)主要是指互联网上应用的特定漏洞,例如,网站的命令执行可能被渗透,电子商务的订单被任意泄露和充值,网站中sql注入的应用可能导致信息泄露等。
12月14日,国家互联网应急中心也对该漏洞作出了回应:“国家信息安全漏洞共享平台cnvd(国家信息安全漏洞共享平台)已确认该情况,并已通过网站管理方的公众联系渠道得到cnvd的通知,其后续工作提供解决方案。”
在官方网站的“安全保证”栏目中,铜掌柜的宣传说:“不仅要为用户提供金融信息服务,还要保证用户信息和资金的安全。铜司库采用128位安全加密技术和安全认证系统,确保数据和资金的安全,并严格遵守所有可识别个人信息保存的监管要求,确保投资者提供的所有信息都能得到保密保护。"
虽然官方网站声称其平台具有多重认证和加密功能,但该铜店老板仍暴露出系统存在漏洞,导致用户信息泄露。事实上,互联网金融平台系统存在漏洞,被黑客攻击的案例也不少。由于黑客入侵,系统瘫痪,遭到恶意篡改,资金被掠夺,甚至许多平台都因黑客入侵而面临破产。
资深业内人士梅州评论告诉记者,一般投资理财平台在用户注册时会收集大量敏感信息,如用户名、身份证号码、手机号码、银行卡号码甚至银行卡密码等。如果这些信息暴露给犯罪分子,犯罪分子可能会利用这些泄露的数据,通过一些科技手段复制他人的证书或设备,登录泄露的平台,窃取用户账户中的留存资金,给用户和平台带来巨大的财务风险。
“事实上,从技术角度来看,没有绝对安全的平台,平台应根据实际运行情况不断加大系统安全投入,以防止黑客攻击造成用户信息泄露。此外,还有其他非技术因素导致用户信息泄露。例如,平台相关技术人员恶意泄露用户信息也是一个难以控制的安全问题。对于这样的问题,平台只有在不断完善相关信息的加密和保护制度,以防止平台用户数据泄露造成员工的道德风险。”梅州评论说,作为一个信息技术平台,技术安全是最基本的要求,无论是平台还是投资者都不应忽视。
缺乏信任
数据显示,该平台的主要运营商杭州同米互联网金融服务有限公司是浙江首批获得“互联网金融服务”资格的公司之一。目前,它已被上市公司中来战略性地投资(报价300393,买入)(300393.sz)。公司成立于2014年7月,注册资本为人民币3000万元,法定代表人为张艳。其业务实体包括跨境电子商务、金融租赁、供应链金融和消费分期付款。截至目前,累计投资额为37.5亿元,活跃用户数为60.9万,平均贷款期限为一个月,年均收入为10.2%。
铜钱店旗下有三款产品,铜钱宝是目前由铜钱店推出的理财产品;铜新宝是一种固定收益理财产品;同正保与地方政府和证券公司的全资子公司发行和管理的资产管理计划相关联。
在咨询官方网站铜司库后,记者发现该平台并未明确披露基金托管人。在其官方网站的“司库栏”上,一些投资者贴出一条帖子,询问“铜司库的银行资金托管是什么?”一位客户服务人员回答说:“目前的银行托管政策还没有出台,所以没有托管银行,资产是四大银行之一。”银行监管(因为与银行有君子协定,所以不对外公布)。”
当记者致电铜店客服询问目前是否有资金托管时,对方说:“我们这边是银行监管的。银行监管意味着我们的资金通过第三方进出口,然后资金也在银行受到监管。我们账户资金的安全由PICC承包。”
梅州评论称,无论是银行托管还是第三方支付托管,平台都应披露这方面的具体信息,不应以其他理由拒绝披露。此外,任何平台上的用户资金都在银行系统中流通,无论是托管、监管还是存管。
“一些平台大肆宣传,只是在为投资者玩文字游戏。保管和保管(监督)的区别很大。甚至第三方支付的托管也比一般的存管证券高一点。铜掌柜目前采用的验证支付和网关支付模式实际上是资金池管理模式。风险非常高。”一位未透露姓名的业内人士告诉记者。
据业内人士介绍,此外,保险与p2p平台之间还有几种合作保险:履约保证保险、风险准备金管理保险、账户安全保险、交易资金损失保险、借款人意外伤害保险和担保损失保险。其中,履约保证保险是最重要的,因为这种保险真正起到了保险公司作为平台项目最终承保人的作用。其他保险类型相对较小,意义不大。然而,一些平台在投保了履约保证保险以外的保险类型后,却宣传与保险的合作,给投资者一种保险覆盖的错觉,这实际上是一种虚假宣传。
此外,在咨询了几个“同证保”贷款对象后,记者发现,在项目信息中披露的信息较少。以《借款合同》为例,除了贷款金额的披露外,包括合同号和公章在内的所有信息均为马赛克。
由于缺乏信任标准,大多数网上贷款平台因信任度不够而受到批评。资深从业者张朝阳告诉记者,许多平台的信息披露程度取决于平台所有者的意愿,平台越正式,披露的信息就越健全。对于许多非正式平台,甚至借款人姓名等基本信息也可能不会被披露。
然而,没有标准的混乱时代可能很快就会结束。据悉,互联网金融行业未来将实施负面清单制度,并且对信息披露也有要求。总体而言,在信息披露方面,监管并未提及层级管理,而是要求贷款人全面披露融资人的基本信息,包括年收入、主要债务和信用报告;融资项目的基本信息,包括项目主要内容、还款来源、融资目的、金额、期限、利率和信用等级等。,还应披露融资方的现有债务信息。互联网金融平台应对贷款人和借款人的资质、信息真实性和融资项目真实性进行必要的审核。如发现欺诈行为,应及时宣布并终止同业拆借活动。互联网金融平台也应该以一种引人注目的方式引发点对点贷款风险。此外,平台本身需要披露信息。主要包括交易金额、交易次数、贷款余额、最高贷款单账户余额比例、贷款逾期金额、赔偿金额、贷款逾期率、贷款坏账率、贷款人数量、借款人数量等信息。同时,必须披露年度报告、经审计的财务报表、与存管机构的合作等。
