日前�,浙江一家互聯(lián)網(wǎng)金融平臺——銅掌柜被曝出存在系統(tǒng)安全問題�,導(dǎo)致平臺60萬用戶大量敏感信息泄露。銅掌柜首席信息官金少策回應(yīng)稱漏洞已修復(fù)���。 然而���,銅掌柜存在的問題遠不止這些,媒體報道稱�,該平臺標的信息披露過少�,資金托管機構(gòu)未明確,運用資金池管理模式風險高�����。 銅掌柜60萬用戶信息遭泄露 據(jù)《中國經(jīng)營報》報道����,根據(jù)補天漏洞響應(yīng)平臺披露的信息顯示,銅掌柜漏洞打包泄漏60萬用戶的姓名�����、手機����、銀行卡和密碼。該漏洞提交于12月1日�����,被定性為事件型漏洞�����,官方評級高危��。據(jù)悉��,事件漏洞(即非通用型漏洞),主要是指互聯(lián)網(wǎng)上應(yīng)用的一個具體漏洞�,例如,某網(wǎng)站命令執(zhí)行可被滲透���、某電商訂單泄露任意充值���、某網(wǎng)站應(yīng)用SQL注入可導(dǎo)致信息泄露等等。 12月14日����,國家互聯(lián)網(wǎng)應(yīng)急中心也對該漏洞進行了回復(fù):“CNVD確認所述情況,已由CNVD通過網(wǎng)站管理方公開聯(lián)系渠道向其郵件通報��,由其后續(xù)提供解決方案����。” 盡管官網(wǎng)上宣稱其平臺有多重認證和加密����,然而銅掌柜仍被爆出系統(tǒng)存在漏洞,導(dǎo)致用戶信息遭到泄露�。在銅掌柜官網(wǎng)的“安全保障”一欄中,其宣傳表示:“不僅為用戶提供金融信息服務(wù),也保障用戶的信息與資金安全�。銅掌柜采用128位安全加密技術(shù)與安全認證體系,保障數(shù)據(jù)與資金安全�,并嚴格遵守所有關(guān)于可辨識個人信息保存的法規(guī)要求,確保投資人提供的所有信息都能得到機密保護�����! 資深業(yè)內(nèi)人士梅州評認為,作為信息技術(shù)平臺�,技術(shù)安全是最基本的要求,平臺和投資者都不應(yīng)該忽視�。 行業(yè)安全建設(shè)待加強 公司回應(yīng)稱漏洞已修復(fù) 據(jù)《每日經(jīng)濟新聞》報道,銅掌柜首席信息官金少策12月20日在接受其記者采訪時表示���,經(jīng)與技術(shù)部門核實�,該漏洞于12月1日由“白帽子”發(fā)現(xiàn)并提交到某漏洞響應(yīng)平臺�����,并在12月9日進行了修復(fù)�,期間并未出現(xiàn)任何用戶信息被泄露。 “此前����,我們已經(jīng)完成了修復(fù)�����,但忽略了在響應(yīng)平臺上的確認�����。近日��,我們已正式向該漏洞響應(yīng)平臺確認回復(fù)”�,金少策表示�,“目前銅掌柜數(shù)據(jù)安全與阿里云合作,平臺數(shù)據(jù)安全由阿里云提供保障��������! 網(wǎng)絡(luò)安全專家��、北京白帽匯科技有限公司CEO趙武表示�����,目前國內(nèi)網(wǎng)站存在安全漏洞是普遍現(xiàn)象����,很多領(lǐng)域都存在,希望相關(guān)政府部門和公司能夠引起足夠重視����。 趙武表示,隨著國家“互聯(lián)網(wǎng)+”戰(zhàn)略的提出�����,很多互聯(lián)網(wǎng)金融公司雨后春筍般涌現(xiàn)�����。這些公司在發(fā)展過程中�����,除了關(guān)注用戶規(guī)模���、成交量規(guī)模的發(fā)展外,也應(yīng)加強信息安全建設(shè)��。比如,成立信息安全部門���、積極和行業(yè)內(nèi)的安全信息公司建立聯(lián)系�、對于行業(yè)內(nèi)發(fā)生的數(shù)據(jù)泄露事件���,積極采取補救措施等手段��,從多方面去筑起一道信息安全的“籬笆”���。 銅掌柜資金托管機構(gòu)不明 信息披露嚴重不足 資料顯示,銅掌柜平臺運營主體為杭州銅米互聯(lián)網(wǎng)金融服務(wù)有限公司���,是浙江首批獲得“互聯(lián)網(wǎng)金融服務(wù)”資質(zhì)的公司之一����,目前已獲上市公司中來股戰(zhàn)略入股�。公司成立于2014年7月,注冊資本3000萬元��,法人代表張焱����。 據(jù)《投資快報》報道�����,銅掌柜其他問題不少�,包括:資金托管機構(gòu)不明���,運用資金池管理模式�����,信息披露嚴重不足�����。 經(jīng)查閱銅掌柜官網(wǎng),記者發(fā)現(xiàn)平臺對于資金托管機構(gòu)并未明確披露���。在其官網(wǎng)中的“掌柜吧”上�����,有投資者發(fā)帖詢問“銅掌柜是什么銀行資金托管”���,一位客服回復(fù)稱����,“目前銀行托管政策沒有出來�����,所以沒有托管銀行��,資產(chǎn)由四大行之一的銀行監(jiān)管(因為同銀行有君子協(xié)議�����,故不對外公示)�������!薄 銅掌柜客服表示��,“我們這邊是銀行進行監(jiān)管的����,銀行監(jiān)管就是我們的資金進出都是通過第三方的,然后資金也是在銀行進行監(jiān)管�����,而且我們的賬戶資金安全由中國人保承包��! 有市場分析人士認為�,不管是銀行托管還是第三方支付托管,作為平臺方都應(yīng)公開這方面的具體信息����,不應(yīng)以其他理由拒絕公開。 此外����,一位不愿具名的業(yè)內(nèi)人士表示,某些平臺以此大肆宣傳�,只是對投資者玩了一個文字游戲。托管和存管(監(jiān)管)差別是很大的�����,哪怕是第三方支付的托管也比一般意義的存管安全性要高一點���,銅掌柜目前采用的認證支付和網(wǎng)關(guān)支付模式,實際上就是資金池管理模式���,風險很高�����。 信息披露嚴重不足方面����,《投資快報》記者查閱多個“銅政寶”借款標的后發(fā)現(xiàn),項目信息中所披露的信息較少��。以《借款合同》為例�,除了借款金額有披露外,包括合同編號����、公章在內(nèi)的一切信息全部被打上馬賽克。 | 
