网络社会征信网

征信网 > 技术防范

易九金融被爆系统存漏洞 上万用户数据或遭泄露

来源:中国经营报 发布日期:2015-11-09 09:24:42

 对于投资者而言,P2P风控除了自身业务之外,平台系统的安全性也同样值得关注。

 近日,补天漏洞响应平台爆出重庆网贷平台易九金融的系统存在漏洞,导致上万用户数据泄露。

 此外,曾有投资者在网络上质疑易九金融与平台资金第三方托管机构——重庆易极付科技有限公司(以下简称“易极付”)均属重庆博恩科技集团,用户资金安全或存风险。

 基于此,《中国经营报》记者致电了易九金融采访。

 对于上述问题,平台一位负责人以短信形式进行了回复。她表示,易极付是第三方支付公司,有央行和相应的监管银行进行资金的监管。因此,平台绝对没有设立资金池,资金流向也非常清晰。而对于补天漏洞响应平台爆出的漏洞问题,对方则表示暂时没有接到客户投诉。

 平台漏洞属高危级别

 根据补天漏洞响应平台官网上的信息显示,易九金融的漏洞被描述为“存在信息泄露、资金操作风险”,官方评为高危级别。漏洞提交时间为2015年11月1日,被定为事件型漏洞,目前正处于通知厂商中(即易九金融)。

 据记者了解,补天漏洞响应平台对漏洞的定义分为通用漏洞与事件漏洞两种。其中,事件漏洞(即非通用型漏洞),主要是指互联网上应用的一个具体漏洞,例如,某网站命令执行可被渗透、某电商订单泄漏任意充值、某网站应用SQL注入可导致信息泄露等等。

 在易九金融官网上的“安全保障”中,对平台系统安全性的描述为“平台IT系统为本公司自主研发,通过内外网完全隔离、高等级访问控制、入侵防范、行为监控、高标准数据加密等一系列保障措施,确保用户信息与交易信息的数据安全。同时建立了异地备份数据中心,制定了多套灾备应急方案,确保发生紧急事件时避免存储数据丢失,保证核心设备正常运行”。

 上述平台负责人在回复记者时,首先表示目前暂时没有收到客户投诉信息泄露的问题,此后亦表示,平台拥有独立IT团队,一直在维护和升级系统,肯定会以客户利益为首。

 随着P2P两年多以来的野蛮生长,平台风控安全已不仅仅只局限在业务模式上,系统安全亦十分重要。全国人大财经委员会副主任吴晓灵曾公开表示,根据世界反黑客组织的最新通报,中国P2P已经成为全世界黑客宰割的羔羊。业内人士亦表示,黑客频繁高强度的攻击,已然是行业内“公开的秘密”。

 据相关数据显示,截至2014年底,已有近165家P2P平台由于黑客攻击造成系统瘫痪、恶意篡改、资金被洗劫一空等,甚至有不少平台因为黑客攻击而面临倒闭。例如,去年中旬,深圳晓风软件公司服务的一百多家P2P平台被爆存系统漏洞,遭黑客攻击,导致很大一部分被攻击的P2P平台损失惨重。

 资深业内人士对本报记者表示,P2P作为信息技术平台,技术安全是最基本的要求。在实际操作中,平台和投资者都应重视系统安全问题,对平台而言,如若自身无法把控,则可以聘请相关第三方安全认证机构。

 “一般而言,平台会掌控用户的身份证号,银行卡号,绑定银行卡的手机号,甚至身份证原件图片,如果使用快捷支付,有些平台甚至会记录相应银行卡的取款密码,如果这些信息泄露,被一些不法分子掌握,对用户的资金安全来讲无疑是灭顶之灾。”该人士表示。

 资金托管机构与平台属同一集团

 重庆易九金融服务有限公司(即易九金融运营公司)成立于2013年6月,注册资本3000万元人民币,公司法人王希娅,股东是重庆易一天使投资有限公司、陈林和张鹏,平台平均收益在8.7%,投资期限主要以4~6个月为主,投资种类分为“投融保”和“政融保”。经营范围包括:投融资咨询服务、信用管理、资产管理、企业信用管理、商务信息咨询服务等。

 官网显示,易九金融是由重庆博恩科技集团(以下简称“博恩集团”)全资拥有的重庆易一天使投资公司联合自然人共同发起创立。博恩集团是一家以软件、互联网为主业的大型科技集团,旗下知名企业包括全球最大威客网——重庆猪八戒网络有限公司,重庆唯一一家同时拥有互联网第三方支付牌照、基金销售支付结算牌照、跨境电子商务外汇支付牌照的第三方支付公司——易极付等。

 值得注意的是,记者在官网上并没有明确提示平台第三方资金托管机构名称。在“安全保障”中“第三方支付机构托管资金账户”中显示,“参与交易的各方均在第三方支付机构开设独立的资金托管账户,所有资金划付指令由客户通过平台向第三方支付机构发出。第三方支付机构为获中国人民银行颁发的互联网支付结算牌照的企业,其资金托管业务在央行的严格监管之下。通过第三方机构对资金账户托管,平台与客户资金严格隔离,杜绝挪用、自融、非法集资等风险”。

 在记者致电易九金融时,对方回应称,平台资金确实由第三方支付机构——易极付进行资金托管。不过,该负责人表示,易极付是第三方支付公司,有央行和相关监管银行进行监管,平台绝对没有设立资金池,资金流向也非常清晰。

 中伦文德律师事务所高级合伙人、互联网金融法律顾问团队负责人陈云峰表示,一则是理论上的,另一侧是实践操作上的。理论上,根据十部委意见是不容许设立资金池的。而安全操作实务方面,如果一个平台能遵守规则,那么它是安全的,反之则不安全。

 “平台与第三方资金托管机构这种情况属于关联公司,不是不可以,不过应该向投资人公开并设置制度防止利益输送。”北京大成律师事务所合伙人肖飒说。

 资深业内人士杨涛认为,目前的P2P资金托管模式中,常用的还是互联网支付公司的托管模式,其实这种托管模式严格来讲也是资金池模式,只是资金池管理是支付公司(没有托管的P2P也是资金池,但资金池管理是P2P公司)。在今年7月出台的支付公司监管政策之前,这是这些公司心照不宣的秘密,同时第三方支付公司在做其他业务时,也会产生数量巨大的沉淀资金,而资金的管理全部由第三方支付公司自由掌控。虽然这些资金也在银行存放,但只是存放在第三方支付公司的不同户头上的,银行是不会监管资金流动的去向的,跟普通人在银行开账户存取钱一样,银行是没有义务确定资金是否属于储户。

 今年8月,由于涉嫌违规挪用客户备付金等违法犯罪行为,浙江易士企业管理服务有限公司被央行正式吊销《支付业务许可证》,成为国内首家《支付业务许可证》注销企业。央行“零容忍”的明确态度也被业内人士解读,央行为第三方支付机构敲响了警钟,也意味着日后央行对第三方支付机构的监管将越来越严格。

 此外,记者发现易九金融的标的借款金额都在百万级别以上,起投金额也在万元以上,资金主要用于项目流动需求。其中,“投融保”是平台签约的国有担保公司将其评审通过的投资接收人推荐到平台进行融资,而“政融保”是联合各省、市、区、县政府控制的国有公司推出的P2G直融项目。

 有业内人士对记者表示,在实体经济疲软、地方债高企的大环境下,众多百万级别借款金额的企业,其兑付能力也有待考量。

(原标题:易九金融被爆系统存漏洞 上万用户数据或遭泄露)

每日推荐

专题活动