日前，浙江一家互聯(lián)網(wǎng)金融平臺——銅掌柜被曝出存在系統(tǒng)安全問題，導(dǎo)致平臺60萬用戶大量敏感信息泄露。銅掌柜首席信息官金少策回應(yīng)稱漏洞已修復(fù)。

　　然而，銅掌柜存在的問題遠(yuǎn)不止這些，媒體報道稱，該平臺標(biāo)的信息披露過少，資金托管機構(gòu)未明確，運用資金池管理模式風(fēng)險高。

　　銅掌柜60萬用戶信息遭泄露

　　據(jù)《中國經(jīng)營報》報道，根據(jù)補天漏洞響應(yīng)平臺披露的信息顯示，銅掌柜漏洞打包泄漏60萬用戶的姓名、手機、銀行卡和密碼。該漏洞提交于12月1日，被定性為事件型漏洞，官方評級高危。據(jù)悉，事件漏洞（即非通用型漏洞），主要是指互聯(lián)網(wǎng)上應(yīng)用的一個具體漏洞，例如，某網(wǎng)站命令執(zhí)行可被滲透、某電商訂單泄露任意充值、某網(wǎng)站應(yīng)用SQL注入可導(dǎo)致信息泄露等等。

　　12月14日，國家互聯(lián)網(wǎng)應(yīng)急中心也對該漏洞進(jìn)行了回復(fù)：“CNVD確認(rèn)所述情況，已由CNVD通過網(wǎng)站管理方公開聯(lián)系渠道向其郵件通報，由其后續(xù)提供解決方案?！?/p>

　　盡管官網(wǎng)上宣稱其平臺有多重認(rèn)證和加密，然而銅掌柜仍被爆出系統(tǒng)存在漏洞，導(dǎo)致用戶信息遭到泄露。在銅掌柜官網(wǎng)的“安全保障”一欄中，其宣傳表示：“不僅為用戶提供金融信息服務(wù)，也保障用戶的信息與資金安全。銅掌柜采用128位安全加密技術(shù)與安全認(rèn)證體系，保障數(shù)據(jù)與資金安全，并嚴(yán)格遵守所有關(guān)于可辨識個人信息保存的法規(guī)要求，確保投資人提供的所有信息都能得到機密保護(hù)?！?/p>

　　資深業(yè)內(nèi)人士梅州評認(rèn)為，作為信息技術(shù)平臺，技術(shù)安全是最基本的要求，平臺和投資者都不應(yīng)該忽視。

　　行業(yè)安全建設(shè)待加強 公司回應(yīng)稱漏洞已修復(fù)

　　據(jù)《每日經(jīng)濟新聞》報道，銅掌柜首席信息官金少策12月20日在接受其記者采訪時表示，經(jīng)與技術(shù)部門核實，該漏洞于12月1日由“白帽子”發(fā)現(xiàn)并提交到某漏洞響應(yīng)平臺，并在12月9日進(jìn)行了修復(fù)，期間并未出現(xiàn)任何用戶信息被泄露。

　　“此前，我們已經(jīng)完成了修復(fù)，但忽略了在響應(yīng)平臺上的確認(rèn)。近日，我們已正式向該漏洞響應(yīng)平臺確認(rèn)回復(fù)”，金少策表示，“目前銅掌柜數(shù)據(jù)安全與阿里云合作，平臺數(shù)據(jù)安全由阿里云提供保障?！?/p>

　　網(wǎng)絡(luò)安全專家、北京白帽匯科技有限公司CEO趙武表示，目前國內(nèi)網(wǎng)站存在安全漏洞是普遍現(xiàn)象，很多領(lǐng)域都存在，希望相關(guān)政府部門和公司能夠引起足夠重視。

　　趙武表示，隨著國家“互聯(lián)網(wǎng)+”戰(zhàn)略的提出，很多互聯(lián)網(wǎng)金融公司雨后春筍般涌現(xiàn)。這些公司在發(fā)展過程中，除了關(guān)注用戶規(guī)模、成交量規(guī)模的發(fā)展外，也應(yīng)加強信息安全建設(shè)。比如，成立信息安全部門、積極和行業(yè)內(nèi)的安全信息公司建立聯(lián)系、對于行業(yè)內(nèi)發(fā)生的數(shù)據(jù)泄露事件，積極采取補救措施等手段，從多方面去筑起一道信息安全的“籬笆”。

　　銅掌柜資金托管機構(gòu)不明 信息披露嚴(yán)重不足

　　資料顯示，銅掌柜平臺運營主體為杭州銅米互聯(lián)網(wǎng)金融服務(wù)有限公司，是浙江首批獲得“互聯(lián)網(wǎng)金融服務(wù)”資質(zhì)的公司之一，目前已獲上市公司中來股份（300393）戰(zhàn)略入股。公司成立于2014年7月，注冊資本3000萬元，法人代表張焱。

　　據(jù)《投資快報》報道，銅掌柜其他問題不少，包括：資金托管機構(gòu)不明，運用資金池管理模式，信息披露嚴(yán)重不足。

　　經(jīng)查閱銅掌柜官網(wǎng)，記者發(fā)現(xiàn)平臺對于資金托管機構(gòu)并未明確披露。在其官網(wǎng)中的“掌柜吧”上，有投資者發(fā)帖詢問“銅掌柜是什么銀行資金托管”，一位客服回復(fù)稱，“目前銀行托管政策沒有出來，所以沒有托管銀行，資產(chǎn)由四大行之一的銀行監(jiān)管(因為同銀行有君子協(xié)議，故不對外公示)?！薄　?/p>

　　銅掌柜客服表示，“我們這邊是銀行進(jìn)行監(jiān)管的，銀行監(jiān)管就是我們的資金進(jìn)出都是通過第三方的，然后資金也是在銀行進(jìn)行監(jiān)管，而且我們的賬戶資金安全由中國人保承包?！?有市場分析人士認(rèn)為，不管是銀行托管還是第三方支付托管，作為平臺方都應(yīng)公開這方面的具體信息，不應(yīng)以其他理由拒絕公開。

　　此外，一位不愿具名的業(yè)內(nèi)人士表示，某些平臺以此大肆宣傳，只是對投資者玩了一個文字游戲。托管和存管(監(jiān)管)差別是很大的，哪怕是第三方支付的托管也比一般意義的存管安全性要高一點，銅掌柜目前采用的認(rèn)證支付和網(wǎng)關(guān)支付模式，實際上就是資金池管理模式，風(fēng)險很高。

　　信息披露嚴(yán)重不足方面，《投資快報》記者查閱多個“銅政寶”借款標(biāo)的后發(fā)現(xiàn)，項目信息中所披露的信息較少。以《借款合同》為例，除了借款金額有披露外，包括合同編號、公章在內(nèi)的一切信息全部被打上馬賽克。