日前,浙江一家互聯(lián)網金融平臺——銅掌柜被曝出存在系統(tǒng)安全問題��,導致平臺60萬用戶大量敏感信息泄露�。銅掌柜首席信息官金少策回應稱漏洞已修復。 然而�,銅掌柜存在的問題遠不止這些,媒體報道稱�,該平臺標的信息披露過少,資金托管機構未明確��,運用資金池管理模式風險高��。 銅掌柜60萬用戶信息遭泄露 據(jù)《中國經營報》報道,根據(jù)補天漏洞響應平臺披露的信息顯示�,銅掌柜漏洞打包泄漏60萬用戶的姓名、手機��、銀行卡和密碼��。該漏洞提交于12月1日��,被定性為事件型漏洞��,官方評級高危�。據(jù)悉,事件漏洞(即非通用型漏洞)��,主要是指互聯(lián)網上應用的一個具體漏洞�,例如,某網站命令執(zhí)行可被滲透�、某電商訂單泄露任意充值、某網站應用SQL注入可導致信息泄露等等��。 12月14日�,國家互聯(lián)網應急中心也對該漏洞進行了回復:“CNVD確認所述情況,已由CNVD通過網站管理方公開聯(lián)系渠道向其郵件通報��,由其后續(xù)提供解決方案��! 盡管官網上宣稱其平臺有多重認證和加密��,然而銅掌柜仍被爆出系統(tǒng)存在漏洞��,導致用戶信息遭到泄露��。在銅掌柜官網的“安全保障”一欄中��,其宣傳表示:“不僅為用戶提供金融信息服務��,也保障用戶的信息與資金安全��。銅掌柜采用128位安全加密技術與安全認證體系�,保障數(shù)據(jù)與資金安全��,并嚴格遵守所有關于可辨識個人信息保存的法規(guī)要求��,確保投資人提供的所有信息都能得到機密保護�。” 資深業(yè)內人士梅州評認為��,作為信息技術平臺�,技術安全是最基本的要求,平臺和投資者都不應該忽視。 行業(yè)安全建設待加強 公司回應稱漏洞已修復 據(jù)《每日經濟新聞》報道�,銅掌柜首席信息官金少策12月20日在接受其記者采訪時表示,經與技術部門核實�,該漏洞于12月1日由“白帽子”發(fā)現(xiàn)并提交到某漏洞響應平臺,并在12月9日進行了修復��,期間并未出現(xiàn)任何用戶信息被泄露�。 “此前,我們已經完成了修復�,但忽略了在響應平臺上的確認。近日�,我們已正式向該漏洞響應平臺確認回復”,金少策表示��,“目前銅掌柜數(shù)據(jù)安全與阿里云合作�,平臺數(shù)據(jù)安全由阿里云提供保障��! 網絡安全專家�、北京白帽匯科技有限公司CEO趙武表示,目前國內網站存在安全漏洞是普遍現(xiàn)象��,很多領域都存在�,希望相關政府部門和公司能夠引起足夠重視。 趙武表示��,隨著國家“互聯(lián)網+”戰(zhàn)略的提出,很多互聯(lián)網金融公司雨后春筍般涌現(xiàn)��。這些公司在發(fā)展過程中�,除了關注用戶規(guī)模、成交量規(guī)模的發(fā)展外�,也應加強信息安全建設�。比如,成立信息安全部門��、積極和行業(yè)內的安全信息公司建立聯(lián)系��、對于行業(yè)內發(fā)生的數(shù)據(jù)泄露事件�,積極采取補救措施等手段,從多方面去筑起一道信息安全的“籬笆”��。 銅掌柜資金托管機構不明 信息披露嚴重不足 資料顯示��,銅掌柜平臺運營主體為杭州銅米互聯(lián)網金融服務有限公司�,是浙江首批獲得“互聯(lián)網金融服務”資質的公司之一,目前已獲上市公司中來股戰(zhàn)略入股�。公司成立于2014年7月,注冊資本3000萬元�,法人代表張焱。 據(jù)《投資快報》報道�,銅掌柜其他問題不少��,包括:資金托管機構不明��,運用資金池管理模式��,信息披露嚴重不足�。 經查閱銅掌柜官網��,記者發(fā)現(xiàn)平臺對于資金托管機構并未明確披露��。在其官網中的“掌柜吧”上�,有投資者發(fā)帖詢問“銅掌柜是什么銀行資金托管”,一位客服回復稱�,“目前銀行托管政策沒有出來,所以沒有托管銀行�,資產由四大行之一的銀行監(jiān)管(因為同銀行有君子協(xié)議,故不對外公示)����!薄 銅掌柜客服表示��,“我們這邊是銀行進行監(jiān)管的��,銀行監(jiān)管就是我們的資金進出都是通過第三方的�,然后資金也是在銀行進行監(jiān)管��,而且我們的賬戶資金安全由中國人保承包���! 有市場分析人士認為�,不管是銀行托管還是第三方支付托管,作為平臺方都應公開這方面的具體信息��,不應以其他理由拒絕公開�。 此外��,一位不愿具名的業(yè)內人士表示�,某些平臺以此大肆宣傳,只是對投資者玩了一個文字游戲��。托管和存管(監(jiān)管)差別是很大的��,哪怕是第三方支付的托管也比一般意義的存管安全性要高一點��,銅掌柜目前采用的認證支付和網關支付模式��,實際上就是資金池管理模式��,風險很高��。 信息披露嚴重不足方面,《投資快報》記者查閱多個“銅政寶”借款標的后發(fā)現(xiàn)�,項目信息中所披露的信息較少。以《借款合同》為例�,除了借款金額有披露外,包括合同編號��、公章在內的一切信息全部被打上馬賽克��。 | 
