针对此事,《中国经营报》记者随后多次致电铜掌柜市场部和媒体公关部,却一直未有人接通。在致电客服后,对方表示,记者所发送的采访邮件已经转至相关部门。不过,截至发稿前,记者仍未收到公司的相关回复前。此外,记者发现平台标的信息披露过少,而资金托管机构也未明确。
被定性高危漏洞
根据补天漏洞响应平台披露的信息显示,铜掌柜漏洞打包泄漏60万用户的姓名、手机、银行卡和密码。该漏洞提交于12月1日,被定性为事件型漏洞,官方评级高危,目前仍处于通知厂商中。
据悉,补天漏洞响应平台对漏洞的定义分为通用漏洞与事件漏洞两种。其中,事件漏洞(即非通用型漏洞),主要是指互联网上应用的一个具体漏洞,例如,某网站命令执行可被渗透、某电商订单泄露任意充值、某网站应用SQL注入可导致信息泄露等等。
12月14日,国家互联网应急中心也对该漏洞进行了回复:“CNVD(即国家信息安全漏洞共享平台)确认所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。”
在铜掌柜官网的“安全保障”一栏中,其宣传表示:“不仅为用户提供金融信息服务,也保障用户的信息与资金安全。铜掌柜采用128位安全加密技术与安全认证体系,保障数据与资金安全,并严格遵守所有关于可辨识个人信息保存的法规要求,确保投资人提供的所有信息都能得到机密保护。”
尽管官网上宣称其平台有多重认证和加密,然而铜掌柜仍被爆出系统存在漏洞,导致用户信息遭到泄露。实际上,互联网金融平台系统存在漏洞,进而被黑客攻击的案例不在少数。由于黑客攻击造成系统瘫痪、恶意篡改、资金被洗劫一空等,甚至出现不少平台因为黑客攻击而面临倒闭。
资深业内人士梅州评对本报记者表示,一般投资理财平台,在用户注册时都会收集用户姓名、身份证号、手机号码、银行卡号、甚至银行卡密码等大量敏感信息,如果这些信息曝露给不法分子,后者可能会利用这些泄露数据通过一些科技手段复制他人的证件或设备,登录泄密平台,窃取用户账户内的留存资金,给用户和平台造成巨大的资金风险。
“实际上,从技术角度来说,是没有绝对安全的平台,平台应该根据运营的实际情况不断增加在系统安全方面的投入,以防止因为黑客攻击造成的用户信息泄露。除此之外,还有其他非技术因素造成的用户信息泄露情况。比如平台相关技术从业人员恶意泄露用户信息,也是一个很难把控的安全问题,对于这样的问题,平台只有不断完善相关信息加密保护的制度,才能防止因为从业人员的道德风险造成的平台用户数据泄露。”梅州评认为,作为信息技术平台,技术安全是较基本的要求,平台和投资者都不应该忽视。
