聯(lián)系QQ:649622350
日前,浙江一家互聯(lián)網(wǎng)金融平臺(tái)——銅掌柜被曝出存在系統(tǒng)安全問(wèn)題,導(dǎo)致平臺(tái)60萬(wàn)用戶(hù)大量敏感信息泄露。銅掌柜首席信息官金少策回應(yīng)稱(chēng)漏洞已修復(fù)。 然而,銅掌柜存在的問(wèn)題遠(yuǎn)不止這些,媒體報(bào)道稱(chēng),該平臺(tái)標(biāo)的信息披露過(guò)少,資金托管機(jī)構(gòu)未明確,運(yùn)用資金池管理模式風(fēng)險(xiǎn)高。 銅掌柜60萬(wàn)用戶(hù)信息遭泄露 據(jù)《中國(guó)經(jīng)營(yíng)報(bào)》報(bào)道,根據(jù)補(bǔ)天漏洞響應(yīng)平臺(tái)披露的信息顯示,銅掌柜漏洞打包泄漏60萬(wàn)用戶(hù)的姓名、手機(jī)、銀行卡和密碼。該漏洞提交于12月1日,被定性為事件型漏洞,官方評(píng)級(jí)高危。據(jù)悉,事件漏洞(即非通用型漏洞),主要是指互聯(lián)網(wǎng)上應(yīng)用的一個(gè)具體漏洞,例如,某網(wǎng)站命令執(zhí)行可被滲透、某電商訂單泄露任意充值、某網(wǎng)站應(yīng)用SQL注入可導(dǎo)致信息泄露等等。 12月14日,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心也對(duì)該漏洞進(jìn)行了回復(fù):“CNVD確認(rèn)所述情況,已由CNVD通過(guò)網(wǎng)站管理方公開(kāi)聯(lián)系渠道向其郵件通報(bào),由其后續(xù)提供解決方案。” 盡管官網(wǎng)上宣稱(chēng)其平臺(tái)有多重認(rèn)證和加密,然而銅掌柜仍被爆出系統(tǒng)存在漏洞,導(dǎo)致用戶(hù)信息遭到泄露。在銅掌柜官網(wǎng)的“安全保障”一欄中,其宣傳表示:“不僅為用戶(hù)提供金融信息服務(wù),也保障用戶(hù)的信息與資金安全。銅掌柜采用128位安全加密技術(shù)與安全認(rèn)證體系,保障數(shù)據(jù)與資金安全,并嚴(yán)格遵守所有關(guān)于可辨識(shí)個(gè)人信息保存的法規(guī)要求,確保投資人提供的所有信息都能得到機(jī)密保護(hù)! 資深業(yè)內(nèi)人士梅州評(píng)認(rèn)為,作為信息技術(shù)平臺(tái),技術(shù)安全是最基本的要求,平臺(tái)和投資者都不應(yīng)該忽視。 行業(yè)安全建設(shè)待加強(qiáng) 公司回應(yīng)稱(chēng)漏洞已修復(fù) 據(jù)《每日經(jīng)濟(jì)新聞》報(bào)道,銅掌柜首席信息官金少策12月20日在接受其記者采訪時(shí)表示,經(jīng)與技術(shù)部門(mén)核實(shí),該漏洞于12月1日由“白帽子”發(fā)現(xiàn)并提交到某漏洞響應(yīng)平臺(tái),并在12月9日進(jìn)行了修復(fù),期間并未出現(xiàn)任何用戶(hù)信息被泄露。 “此前,我們已經(jīng)完成了修復(fù),但忽略了在響應(yīng)平臺(tái)上的確認(rèn)。近日,我們已正式向該漏洞響應(yīng)平臺(tái)確認(rèn)回復(fù)”,金少策表示,“目前銅掌柜數(shù)據(jù)安全與阿里云合作,平臺(tái)數(shù)據(jù)安全由阿里云提供保障! 網(wǎng)絡(luò)安全專(zhuān)家、北京白帽匯科技有限公司CEO趙武表示,目前國(guó)內(nèi)網(wǎng)站存在安全漏洞是普遍現(xiàn)象,很多領(lǐng)域都存在,希望相關(guān)政府部門(mén)和公司能夠引起足夠重視。 趙武表示,隨著國(guó)家“互聯(lián)網(wǎng)+”戰(zhàn)略的提出,很多互聯(lián)網(wǎng)金融公司雨后春筍般涌現(xiàn)。這些公司在發(fā)展過(guò)程中,除了關(guān)注用戶(hù)規(guī)模、成交量規(guī)模的發(fā)展外,也應(yīng)加強(qiáng)信息安全建設(shè)。比如,成立信息安全部門(mén)、積極和行業(yè)內(nèi)的安全信息公司建立聯(lián)系、對(duì)于行業(yè)內(nèi)發(fā)生的數(shù)據(jù)泄露事件,積極采取補(bǔ)救措施等手段,從多方面去筑起一道信息安全的“籬笆”。 銅掌柜資金托管機(jī)構(gòu)不明 信息披露嚴(yán)重不足 資料顯示,銅掌柜平臺(tái)運(yùn)營(yíng)主體為杭州銅米互聯(lián)網(wǎng)金融服務(wù)有限公司,是浙江首批獲得“互聯(lián)網(wǎng)金融服務(wù)”資質(zhì)的公司之一,目前已獲上市公司中來(lái)股戰(zhàn)略入股。公司成立于2014年7月,注冊(cè)資本3000萬(wàn)元,法人代表張焱。 據(jù)《投資快報(bào)》報(bào)道,銅掌柜其他問(wèn)題不少,包括:資金托管機(jī)構(gòu)不明,運(yùn)用資金池管理模式,信息披露嚴(yán)重不足。 經(jīng)查閱銅掌柜官網(wǎng),記者發(fā)現(xiàn)平臺(tái)對(duì)于資金托管機(jī)構(gòu)并未明確披露。在其官網(wǎng)中的“掌柜吧”上,有投資者發(fā)帖詢(xún)問(wèn)“銅掌柜是什么銀行資金托管”,一位客服回復(fù)稱(chēng),“目前銀行托管政策沒(méi)有出來(lái),所以沒(méi)有托管銀行,資產(chǎn)由四大行之一的銀行監(jiān)管(因?yàn)橥y行有君子協(xié)議,故不對(duì)外公示)。” 銅掌柜客服表示,“我們這邊是銀行進(jìn)行監(jiān)管的,銀行監(jiān)管就是我們的資金進(jìn)出都是通過(guò)第三方的,然后資金也是在銀行進(jìn)行監(jiān)管,而且我們的賬戶(hù)資金安全由中國(guó)人保承包。” 有市場(chǎng)分析人士認(rèn)為,不管是銀行托管還是第三方支付托管,作為平臺(tái)方都應(yīng)公開(kāi)這方面的具體信息,不應(yīng)以其他理由拒絕公開(kāi)。 此外,一位不愿具名的業(yè)內(nèi)人士表示,某些平臺(tái)以此大肆宣傳,只是對(duì)投資者玩了一個(gè)文字游戲。托管和存管(監(jiān)管)差別是很大的,哪怕是第三方支付的托管也比一般意義的存管安全性要高一點(diǎn),銅掌柜目前采用的認(rèn)證支付和網(wǎng)關(guān)支付模式,實(shí)際上就是資金池管理模式,風(fēng)險(xiǎn)很高。 信息披露嚴(yán)重不足方面,《投資快報(bào)》記者查閱多個(gè)“銅政寶”借款標(biāo)的后發(fā)現(xiàn),項(xiàng)目信息中所披露的信息較少。以《借款合同》為例,除了借款金額有披露外,包括合同編號(hào)、公章在內(nèi)的一切信息全部被打上馬賽克。 |
|Archiver|手機(jī)版|小黑屋|臨汾金融網(wǎng) ( 晉ICP備15007433號(hào) )
Powered by Discuz! X3.2© 2001-2013 Comsenz Inc.