原文標題：易九金融被爆系統(tǒng)存漏洞 用戶數(shù)據(jù)或遭泄露

　　對于投資者而言，P2P風控除了自身業(yè)務之外，平臺系統(tǒng)的安全性也同樣值得關注。

　　近日，補天漏洞響應平臺爆出重慶網(wǎng)貸平臺易九金融的系統(tǒng)存在漏洞，導致上萬用戶數(shù)據(jù)泄露。

　　此外，曾有投資者在網(wǎng)絡上質(zhì)疑易九金融與平臺資金第三方托管機構——重慶易極付科技有限公司（以下簡稱“易極付”）均屬重慶博恩科技集團，用戶資金安全或存風險。

　　基于此，《中國經(jīng)營報》記者致電了易九金融采訪。

　　對于上述問題，平臺一位負責人以短信形式進行了回復。她表示，易極付是第三方支付公司，有央行和相應的監(jiān)管銀行進行資金的監(jiān)管。因此，平臺絕對沒有設立資金池，資金流向也非常清晰。而對于補天漏洞響應平臺爆出的漏洞問題，對方則表示暫時沒有接到客戶投訴。

　　平臺漏洞屬高危級別

　　根據(jù)補天漏洞響應平臺官網(wǎng)上的信息顯示，易九金融的漏洞被描述為“存在信息泄露、資金操作風險”，官方評為高危級別。漏洞提交時間為2015年11月1日，被定為事件型漏洞，目前正處于通知廠商中（即易九金融）。

　　據(jù)記者了解，補天漏洞響應平臺對漏洞的定義分為通用漏洞與事件漏洞兩種。其中，事件漏洞（即非通用型漏洞），主要是指互聯(lián)網(wǎng)上應用的一個具體漏洞，例如，某網(wǎng)站命令執(zhí)行可被滲透、某電商訂單泄漏任意充值、某網(wǎng)站應用SQL注入可導致信息泄露等等。

　　在易九金融官網(wǎng)上的“安全保障”中，對平臺系統(tǒng)安全性的描述為“平臺IT系統(tǒng)為本公司自主研發(fā)，通過內(nèi)外網(wǎng)完全隔離、高等級訪問控制、入侵防范、行為監(jiān)控、高標準數(shù)據(jù)加密等一系列保障措施，確保用戶信息與交易信息的數(shù)據(jù)安全。同時建立了異地備份數(shù)據(jù)中心，制定了多套災備應急方案，確保發(fā)生緊急事件時避免存儲數(shù)據(jù)丟失，保證核心設備正常運行”。

　　上述平臺負責人在回復記者時，首先表示目前暫時沒有收到客戶投訴信息泄露的問題，此后亦表示，平臺擁有獨立IT團隊，一直在維護和升級系統(tǒng)，肯定會以客戶利益為首。

　　隨著P2P兩年多以來的野蠻生長，平臺風控安全已不僅僅只局限在業(yè)務模式上，系統(tǒng)安全亦十分重要。全國人大財經(jīng)委員會副主任吳曉靈曾公開表示，根據(jù)世界反黑客組織的最新通報，中國P2P已經(jīng)成為全世界黑客宰割的羔羊。業(yè)內(nèi)人士亦表示，黑客頻繁高強度的攻擊，已然是行業(yè)內(nèi)“公開的秘密”。

　　據(jù)相關數(shù)據(jù)顯示，截至2014年底，已有近165家P2P平臺由于黑客攻擊造成系統(tǒng)癱瘓、惡意篡改、資金被洗劫一空等，甚至有不少平臺因為黑客攻擊而面臨倒閉。例如，去年中旬，深圳曉風軟件公司服務的一百多家P2P平臺被爆存系統(tǒng)漏洞，遭黑客攻擊，導致很大一部分被攻擊的P2P平臺損失慘重。

　　資深業(yè)內(nèi)人士對本報記者表示，P2P作為信息技術平臺，技術安全是最基本的要求。在實際操作中，平臺和投資者都應重視系統(tǒng)安全問題，對平臺而言，如若自身無法把控，則可以聘請相關第三方安全認證機構。

　　“一般而言，平臺會掌控用戶的身份證號，銀行卡號，綁定銀行卡的手機號，甚至身份證原件圖片，如果使用快捷支付，有些平臺甚至會記錄相應銀行卡的取款密碼，如果這些信息泄露，被一些不法分子掌握，對用戶的資金安全來講無疑是滅頂之災?！痹撊耸勘硎?。

　　資金托管機構與平臺屬同一集團

　　重慶易九金融服務有限公司（即易九金融運營公司）成立于2013年6月，注冊資本3000萬元人民幣，公司法人王希婭，股東是重慶易一天使投資有限公司、陳林和張鵬，平臺平均收益在8.7%，投資期限主要以4~6個月為主，投資種類分為“投融?！焙汀罢诒！薄＝?jīng)營范圍包括：投融資咨詢服務、信用管理、資產(chǎn)管理、企業(yè)信用管理、商務信息咨詢服務等。

　　官網(wǎng)顯示，易九金融是由重慶博恩科技集團（以下簡稱“博恩集團”）全資擁有的重慶易一天使投資公司聯(lián)合自然人共同發(fā)起創(chuàng)立。博恩集團是一家以軟件、互聯(lián)網(wǎng)為主業(yè)的大型科技集團，旗下知名企業(yè)包括全球最大威客網(wǎng)——重慶豬八戒網(wǎng)絡有限公司，重慶唯一一家同時擁有互聯(lián)網(wǎng)第三方支付牌照、基金銷售支付結算牌照、跨境電子商務外匯支付牌照的第三方支付公司——易極付等。

　　值得注意的是，記者在官網(wǎng)上并沒有明確提示平臺第三方資金托管機構名稱。在“安全保障”中“第三方支付機構托管資金賬戶”中顯示，“參與交易的各方均在第三方支付機構開設獨立的資金托管賬戶，所有資金劃付指令由客戶通過平臺向第三方支付機構發(fā)出。第三方支付機構為獲中國人民銀行頒發(fā)的互聯(lián)網(wǎng)支付結算牌照的企業(yè)，其資金托管業(yè)務在央行的嚴格監(jiān)管之下。通過第三方機構對資金賬戶托管，平臺與客戶資金嚴格隔離，杜絕挪用、自融、非法集資等風險”。

　　在記者致電易九金融時，對方回應稱，平臺資金確實由第三方支付機構——易極付進行資金托管。不過，該負責人表示，易極付是第三方支付公司，有央行和相關監(jiān)管銀行進行監(jiān)管，平臺絕對沒有設立資金池，資金流向也非常清晰。

　　中倫文德律師事務所高級合伙人、互聯(lián)網(wǎng)金融法律顧問團隊負責人陳云峰表示，一則是理論上的，另一側是實踐操作上的。理論上，根據(jù)十部委意見是不容許設立資金池的。而安全操作實務方面，如果一個平臺能遵守規(guī)則，那么它是安全的，反之則不安全。

　　“平臺與第三方資金托管機構這種情況屬于關聯(lián)公司，不是不可以，不過應該向投資人公開并設置制度防止利益輸送?！北本┐蟪陕蓭熓聞账匣锶诵わS說。

　　資深業(yè)內(nèi)人士楊濤認為，目前的P2P資金托管模式中，常用的還是互聯(lián)網(wǎng)支付公司的托管模式，其實這種托管模式嚴格來講也是資金池模式，只是資金池管理是支付公司（沒有托管的P2P也是資金池，但資金池管理是P2P公司）。在今年7月出臺的支付公司監(jiān)管政策之前，這是這些公司心照不宣的秘密，同時第三方支付公司在做其他業(yè)務時，也會產(chǎn)生數(shù)量巨大的沉淀資金，而資金的管理全部由第三方支付公司自由掌控。雖然這些資金也在銀行存放，但只是存放在第三方支付公司的不同戶頭上的，銀行是不會監(jiān)管資金流動的去向的，跟普通人在銀行開賬戶存取錢一樣，銀行是沒有義務確定資金是否屬于儲戶。

　　今年8月，由于涉嫌違規(guī)挪用客戶備付金等違法犯罪行為，浙江易士企業(yè)管理服務有限公司被央行正式吊銷《支付業(yè)務許可證》，成為國內(nèi)首家《支付業(yè)務許可證》注銷企業(yè)。央行“零容忍”的明確態(tài)度也被業(yè)內(nèi)人士解讀，央行為第三方支付機構敲響了警鐘，也意味著日后央行對第三方支付機構的監(jiān)管將越來越嚴格。

　　此外，記者發(fā)現(xiàn)易九金融的標的借款金額都在百萬級別以上，起投金額也在萬元以上，資金主要用于項目流動需求。其中，“投融?！笔瞧脚_簽約的國有擔保公司將其評審通過的投資接收人推薦到平臺進行融資，而“政融保”是聯(lián)合各省、市、區(qū)、縣政府控制的國有公司推出的P2G直融項目。

　　有業(yè)內(nèi)人士對記者表示，在實體經(jīng)濟疲軟、地方債高企的大環(huán)境下，眾多百萬級別借款金額的企業(yè)，其兌付能力也有待考量。