對(duì)于互聯(lián)網(wǎng)用戶而言，網(wǎng)絡(luò)安全至關(guān)重要。而隨著越來(lái)越多人通過(guò)線上進(jìn)行投資理財(cái)，更是將網(wǎng)絡(luò)安全推到了高潮。在補(bǔ)天漏洞響應(yīng)平臺(tái)上，浙江一家互聯(lián)網(wǎng)金融平臺(tái)--銅掌柜被爆出存在系統(tǒng)安全問(wèn)題，導(dǎo)致平臺(tái)60萬(wàn)用戶大量敏感信息泄露。

針對(duì)此事，《中國(guó)經(jīng)營(yíng)報(bào)》記者隨后多次致電銅掌柜市場(chǎng)部和媒體公關(guān)部，卻一直未有人接通。在致電客服后，對(duì)方表示，記者所發(fā)送的采訪郵件已經(jīng)轉(zhuǎn)至相關(guān)部門。不過(guò)，截至發(fā)稿前，記者仍未收到公司的相關(guān)回復(fù)前。此外，記者發(fā)現(xiàn)平臺(tái)標(biāo)的信息披露過(guò)少，而資金托管機(jī)構(gòu)也未明確。

被定性高危漏洞

根據(jù)補(bǔ)天漏洞響應(yīng)平臺(tái)披露的信息顯示，銅掌柜漏洞打包泄漏60萬(wàn)用戶的姓名、手機(jī)、銀行卡和密碼。該漏洞提交于12月1日，被定性為事件型漏洞，官方評(píng)級(jí)高危，目前仍處于通知廠商中。

據(jù)悉，補(bǔ)天漏洞響應(yīng)平臺(tái)對(duì)漏洞的定義分為通用漏洞與事件漏洞兩種。其中，事件漏洞（即非通用型漏洞），主要是指互聯(lián)網(wǎng)上應(yīng)用的一個(gè)具體漏洞，例如，某網(wǎng)站命令執(zhí)行可被滲透、某電商訂單泄露任意充值、某網(wǎng)站應(yīng)用SQL注入可導(dǎo)致信息泄露等等。

12月14日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心也對(duì)該漏洞進(jìn)行了回復(fù)：“CNVD（即國(guó)家信息安全漏洞共享平臺(tái)）確認(rèn)所述情況，已由CNVD通過(guò)網(wǎng)站管理方公開聯(lián)系渠道向其郵件通報(bào)，由其后續(xù)提供解決方案?！?/p>

在銅掌柜官網(wǎng)的“安全保障”一欄中，其宣傳表示：“不僅為用戶提供金融信息服務(wù)，也保障用戶的信息與資金安全。銅掌柜采用128位安全加密技術(shù)與安全認(rèn)證體系，保障數(shù)據(jù)與資金安全，并嚴(yán)格遵守所有關(guān)于可辨識(shí)個(gè)人信息保存的法規(guī)要求，確保投資人提供的所有信息都能得到機(jī)密保護(hù)?！?/p>

盡管官網(wǎng)上宣稱其平臺(tái)有多重認(rèn)證和加密，然而銅掌柜仍被爆出系統(tǒng)存在漏洞，導(dǎo)致用戶信息遭到泄露。實(shí)際上，互聯(lián)網(wǎng)金融平臺(tái)系統(tǒng)存在漏洞，進(jìn)而被黑客攻擊的案例不在少數(shù)。由于黑客攻擊造成系統(tǒng)癱瘓、惡意篡改、資金被洗劫一空等，甚至出現(xiàn)不少平臺(tái)因?yàn)楹诳凸舳媾R倒閉。

資深業(yè)內(nèi)人士梅州評(píng)對(duì)本報(bào)記者表示，一般投資理財(cái)平臺(tái)，在用戶注冊(cè)時(shí)都會(huì)收集用戶姓名、身份證號(hào)、手機(jī)號(hào)碼、銀行卡號(hào)、甚至銀行卡密碼等大量敏感信息，如果這些信息曝露給不法分子，后者可能會(huì)利用這些泄露數(shù)據(jù)通過(guò)一些科技手段復(fù)制他人的證件或設(shè)備，登錄泄密平臺(tái)，竊取用戶賬戶內(nèi)的留存資金，給用戶和平臺(tái)造成巨大的資金風(fēng)險(xiǎn)。

“實(shí)際上，從技術(shù)角度來(lái)說(shuō)，是沒(méi)有絕對(duì)安全的平臺(tái)，平臺(tái)應(yīng)該根據(jù)運(yùn)營(yíng)的實(shí)際情況不斷增加在系統(tǒng)安全方面的投入，以防止因?yàn)楹诳凸粼斐傻挠脩粜畔⑿孤?。除此之外，還有其他非技術(shù)因素造成的用戶信息泄露情況。比如平臺(tái)相關(guān)技術(shù)從業(yè)人員惡意泄露用戶信息，也是一個(gè)很難把控的安全問(wèn)題，對(duì)于這樣的問(wèn)題，平臺(tái)只有不斷完善相關(guān)信息加密保護(hù)的制度，才能防止因?yàn)閺臉I(yè)人員的道德風(fēng)險(xiǎn)造成的平臺(tái)用戶數(shù)據(jù)泄露?！泵分菰u(píng)認(rèn)為，作為信息技術(shù)平臺(tái)，技術(shù)安全是最基本的要求，平臺(tái)和投資者都不應(yīng)該忽視。

信披不足

資料顯示，銅掌柜平臺(tái)運(yùn)營(yíng)主體為杭州銅米互聯(lián)網(wǎng)金融服務(wù)有限公司，是浙江首批獲得“互聯(lián)網(wǎng)金融服務(wù)”資質(zhì)的公司之一，目前已獲上市公司中來(lái)股份（300393.SZ）戰(zhàn)略入股。公司成立于2014年7月，注冊(cè)資本3000萬(wàn)元，法人代表張焱，業(yè)務(wù)主體包括跨境電商、融資租賃、供應(yīng)鏈金融、消費(fèi)分期等。截至目前，累計(jì)投資金額37.5億元，活躍用戶數(shù)60.9萬(wàn)人，平均借款周期1個(gè)月，平均年化收益10.2%.

銅掌柜旗下有三款產(chǎn)品，銅錢寶是銅掌柜推出的一款活期理財(cái)產(chǎn)品；銅信寶是固收理財(cái)產(chǎn)品；銅政寶則是與當(dāng)?shù)卣Y子公司及證券公司發(fā)行管理的資產(chǎn)管理計(jì)劃掛鉤。

經(jīng)查閱銅掌柜官網(wǎng)，記者發(fā)現(xiàn)平臺(tái)對(duì)于資金托管機(jī)構(gòu)并未明確披露。在其官網(wǎng)中的“掌柜吧”上，有投資者發(fā)帖詢問(wèn)“銅掌柜是什么銀行資金托管”,一位客服回復(fù)稱，“目前銀行托管政策沒(méi)有出來(lái)，所以沒(méi)有托管銀行，資產(chǎn)由四大行之一的銀行監(jiān)管（因?yàn)橥y行有君子協(xié)議，故不對(duì)外公示）。”

記者致電銅掌柜客服，詢問(wèn)“目前是否有資金托管”時(shí)，對(duì)方表示，“我們這邊是銀行進(jìn)行監(jiān)管的，銀行監(jiān)管就是我們的資金進(jìn)出都是通過(guò)第三方的，然后資金也是在銀行進(jìn)行監(jiān)管，而且我們的賬戶資金安全由中國(guó)人保承包?！?/p>

梅州評(píng)認(rèn)為，不管是銀行托管還是第三方支付托管，作為平臺(tái)方都應(yīng)公開這方面的具體信息，不應(yīng)以其他理由拒絕公開。另外，任何一家平臺(tái)上的用戶資金都是在銀行系統(tǒng)里面流通的，不管托管還是監(jiān)管或是存管都是如此。

“某些平臺(tái)以此大肆宣傳，只是對(duì)投資者玩了一個(gè)文字游戲。托管和存管（監(jiān)管）差別是很大的，哪怕是第三方支付的托管也比一般意義的存管安全性要高一點(diǎn)，銅掌柜目前采用的認(rèn)證支付和網(wǎng)關(guān)支付模式，實(shí)際上就是資金池管理模式，風(fēng)險(xiǎn)很高?！币晃徊辉妇呙臉I(yè)內(nèi)人士對(duì)記者表示。

該業(yè)內(nèi)人士還表示，此外，保險(xiǎn)和P2P平臺(tái)的合作險(xiǎn)種有以下幾種：履約保證保險(xiǎn)、風(fēng)險(xiǎn)準(zhǔn)備金管理保險(xiǎn)、賬戶安全險(xiǎn)、交易資金損失險(xiǎn)、借款人意外險(xiǎn)及抵押物滅失險(xiǎn)。其中以履約保證險(xiǎn)最為重要，因?yàn)榇穗U(xiǎn)種才真正起到了保險(xiǎn)公司為平臺(tái)項(xiàng)目最終兜底的作用，其他險(xiǎn)種都是相對(duì)很次要的險(xiǎn)種，意義不大，但是一些平臺(tái)在投保了除履約保證險(xiǎn)之外的險(xiǎn)種后，對(duì)外大肆宣傳和保險(xiǎn)有合作，以此給投資者一個(gè)保險(xiǎn)兜底的假象，實(shí)際上已經(jīng)涉及虛假宣傳。

此外，記者查閱多個(gè)“銅政寶”借款標(biāo)的后發(fā)現(xiàn)，項(xiàng)目信息中所披露的信息較少。以《借款合同》為例，除了借款金額有披露外，包括合同編號(hào)、公章在內(nèi)的一切信息全部被打上馬賽克。

由于無(wú)信披標(biāo)準(zhǔn)，大多數(shù)網(wǎng)貸平臺(tái)信披不充分的問(wèn)題一直飽受詬病。資深從業(yè)人士張朝陽(yáng)對(duì)記者表示，很多平臺(tái)的信息披露程度取決于平臺(tái)老板的意愿，越是正規(guī)的平臺(tái)所披露的信息也是越健全的。對(duì)于很多不正規(guī)的平臺(tái)來(lái)說(shuō)，甚至可能連借款方名稱等基本信息都拒絕公開。

不過(guò)，信披無(wú)標(biāo)準(zhǔn)的混亂時(shí)光也許很快就要被終結(jié)。有消息稱互聯(lián)網(wǎng)金融行業(yè)未來(lái)將實(shí)行負(fù)面清單制，對(duì)于信息披露也有要求。整體看來(lái)，在信息披露方面，監(jiān)管未提及分級(jí)管理，而是要求向出借人充分披露融資方基本信息，包括年收入、主要債務(wù)、信用報(bào)告；融資項(xiàng)目基本信息，包括項(xiàng)目的主要內(nèi)容、還款來(lái)源、融資用途、金額、期限、利率、信用評(píng)級(jí)情況等，也要披露融資方已有的債務(wù)信息。互聯(lián)網(wǎng)金融平臺(tái)應(yīng)對(duì)出借人和借款人的資格條件、信息真實(shí)性、融資項(xiàng)目真實(shí)性等進(jìn)行必要審核。如果發(fā)現(xiàn)欺詐行為，應(yīng)及時(shí)公告并終止網(wǎng)絡(luò)借貸活動(dòng)?；ヂ?lián)網(wǎng)金融平臺(tái)還應(yīng)以醒目的方式提示網(wǎng)絡(luò)借貸風(fēng)險(xiǎn)。此外，平臺(tái)自身也需要進(jìn)行披露信息。主要包括，交易金額、交易筆數(shù)、借款余額、最大借款單戶余額占比、借款逾期金額、代償金額、借貸逾期率、借貸壞賬率、出借人數(shù)量、借款人數(shù)量等信息。同時(shí)，也要披露年報(bào)、經(jīng)審計(jì)過(guò)的財(cái)務(wù)報(bào)表、與存管機(jī)構(gòu)合作情況等。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。