日前,浙江一家互联网金融平台铜掌柜被曝出存在漏洞,导致大量敏感信息泄露。此外,记者发现,该平台还存在不少其他问题。
60万用户信息遭泄露
据悉,铜掌柜平台运营主体为杭州铜米互联网金融服务有限公司,是浙江首批获得“互联网金融服务”资质的公司之一。该公司成立于2014年7月,注册资本3000万元,目前已获上市公司中来股份战略入股。
在铜掌柜官网的“安全保障”一栏中,有如下描述:“铜掌柜采用128位安全加密技术与安全认证体系,保障数据与资金安全,并严格遵守所有关于可辨识个人信息保存的法规要求,确保投资人提供的所有信息都能得到机密保护。”
然而,根据补天漏洞响应平台披露的信息显示,12月1日,有专业人士提交铜掌柜平台某个漏洞信息报告,该漏洞被定性为“事件型漏洞”,官方评级高危,目前已经泄露60万用户的姓名、手机、银行卡和密码。
12月14日,国家互联网应急中心(CNVD)也对该漏洞进行了回复:“CNVD确认所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。”
12月20日,铜掌柜首席信息官金少策对媒体表示,经与技术部门核实,该漏洞由“白帽子”(指致力于寻找网络漏洞并作出提醒的计算机专家)发现并提交到补天漏洞响应平台。公司已于12月9日进行了修复,期间并未出现任何用户信息被泄露。
对此,资深业内人士梅州评认为,作为互联网金融服务平台,技术安全是最基本的要求,平台和投资者都不应该忽视。
信息披露严重不足
除了平台存在漏洞外,铜掌柜其他问题也不少,包括:资金托管机构不明,运用资金池管理模式,信息披露严重不足。
在铜掌柜官网中的“掌柜吧”上,有投资者发帖询问“铜掌柜是什么银行资金托管”。对此,一位客服回复称,“目前,铜掌柜没有托管银行,但我们的资金进出都是通过第三方的,资金也是在银行进行监管,而且我们的账户资金安全由中国人保承保。”
此外,一位业内人士表示,某些平台冠冕堂皇地进行宣传,只是对投资者玩了一个文字游戏。“托管和存管(监管)差别是很大的,哪怕是第三方支付托管也比一般意义的存管安全性要高。铜掌柜目前采用的认证支付和网关支付模式,实际上就是资金池管理模式,风险很高。”
而在信息披露方面,记者查阅平台上多个借款标的发现,项目信息内容较少。以《借款合同》为例,除了借款金额有披露外,包括合同编号、公章在内的一切信息竟然全部被打上马赛克。
(记者 米太平)
关注读览天下微信,
100万篇深度好文,
等你来看……
