首页 国际新闻 图片 天下博览 视频 东瀛传真 韩朝播报 世界军事 观察
您当前的位置 :主页 > 观察 >

铜掌柜被指存高危漏洞60万用户信息严重泄露

2018-05-24 10:45
作者:    来源:

近日,补天漏洞响应平台曝光铜掌柜存在系统漏洞,导致60万用户大量敏感信息泄露,包括姓名、手机、银行卡和密码。该漏洞提交于12月1日,被定性为事件型漏洞,官方评级高危,目前仍处于通知厂商中。

据报道,发现了上述平台漏洞危机的媒体,针对此事多次致电铜掌柜市场部和公关部,但一直未有人接通。致电平台客服后,对方表示,记者所发送的采访邮件已转至相关部门,但截至发稿前,记者仍未收到该公司的相关回复。此外,媒体还披露指出该平台标的信息披露不足,而资金托管机构也并未明确。

铜掌柜60万用户敏感信息泄露 被定性高危漏洞

假如有一天,作为投资者的你,姓名、手机、银行卡和密码,全部被理财机构泄露于公众,你还会相信这一家理财机构吗?广州市民小张向《投资快报》记者表示,恐怕后患无穷,绝对不再相信了!

据了解,补天漏洞响应平台对漏洞的定义分为通用漏洞与事件漏洞两种。其中,事件漏洞(即非通用型漏洞),主要是指互联网上应用的一个具体漏洞,例如,某网站命令执行可被渗透、某电商订单泄露任意充值、某网站应用SQL注入可导致信息泄露等等。根据补天漏洞响应平台披露的信息显示,铜掌柜漏洞打包泄漏60万用户的姓名、手机、银行卡和密码。该漏洞提交于12月1日,被定性为事件型漏洞,官方评级高危,目前仍处于通知厂商中。

12月14日,国家互联网应急中心也对该漏洞进行了回复:“CNVD确认所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。”

理财平台无需对客户的信息进行保密维护吗?显然不是的。《投资快报》记者观察到,在铜掌柜官网的“安全保障”一栏中,其宣传表示:“不仅为用户提供金融信息服务,也保障用户的信息与资金安全。铜掌柜采用128位安全加密技术与安全认证体系,保障数据与资金安全,并严格遵守所有关于可辨识个人信息保存的法规要求,确保投资人提供的所有信息都能得到机密保护。”

已有平台倒闭案例

系统漏洞造就黑客攻击所致

尽管官网上宣称其平台有多重认证和加密,然而铜掌柜仍被爆出系统存在漏洞,导致用户信息遭到泄露。实际上,互联网金融平台系统存在漏洞,进而被黑客攻击的案例不在少数。由于黑客攻击造成系统瘫痪、恶意篡改、资金被洗劫一空等,甚至出现不少平台因为黑客攻击而面临倒闭。

有资深业内人士指出,一般投资理财平台,在用户注册时都会收集用户姓名、身份证号、手机号码、银行卡号、甚至银行卡密码等大量敏感信息,如果这些信息曝露给不法分子,后者可能会利用这些泄露数据通过一些科技手段复制他人的证件或设备,登录泄密平台,窃取用户账户内的留存资金,给用户和平台造成巨大的资金风险。

“实际上,从技术角度来说,是没有绝对安全的平台,平台应该根据运营的实际情况不断增加在系统安全方面的投入,以防止因为黑客攻击造成的用户信息泄露。除此之外,还有其他非技术因素造成的用户信息泄露情况。比如平台相关技术从业人员恶意泄露用户信息,也是一个很难把控的安全问题,对于这样的问题,平台只有不断完善相关信息加密保护的制度,才能防止因为从业人员的道德风险造成的平台用户数据泄露。”上述业内人士认为,作为信息技术平台,技术安全是最基本的要求,平台和投资者都不应该忽视。

铜掌柜被指其他问题不少

1、资金托管机构不明

资料显示,铜掌柜平台运营主体为杭州铜米互联网金融服务有限公司,是浙江首批获得“互联网金融服务”资质的公司之一,目前已获上市公司中来股份(300393)战略入股。公司成立于2017年7月,注册资本3000万元,法人代表张焱,业务主体包括跨境电商、融资租赁、供应链金融、消费分期等。截至目前,累计投资金额37.5亿元,活跃用户数60.9万人,平均借款周期1个月,平均年化收益10.2%。

铜掌柜旗下有三款产品,铜钱宝是铜掌柜推出的一款活期理财产品;铜信宝是固收理财产品;铜政宝则是与当地政府全资子公司及证券公司发行管理的资产管理计划挂钩。

据报道,经查阅铜掌柜官网,《投资快报》记者发现平台对于资金托管机构并未明确披露。在其官网中的“掌柜吧”上,有投资者发帖询问“铜掌柜是什么银行资金托管”,一位客服回复称,“目前银行托管政策没有出来,所以没有托管银行,资产由四大行之一的银行监管(因为同银行有君子协议,故不对外公示)。”