铜掌柜系统存漏洞 60万用户信息遭泄露

广告位API接口通信错误，查看德得广告获取帮助

平台名称:铜掌柜 关注     

平台网址:https://www.tzg.cn/   

曝光原因:   

对于互联网用户而言，网络安全至关重要。而随着越来越多人通过线上进行投资理财，更是将网络安全推到了高潮。在补天漏洞响应平台上，浙江一家互联网金融平台——铜掌柜被爆出存在系统安全问题，导致平台60万用户大量敏感信息泄露。

针对此事，《中国经营报》记者随后多次致电铜掌柜市场部和媒体公关部，却一直未有人接通。在致电客服后，对方表示，记者所发送的采访邮件已经转至相关部门。不过，截至发稿前，记者仍未收到公司的相关回复前。此外，记者发现平台标的信息披露过少，而资金托管机构也未明确。

被定性高危漏洞

根据补天漏洞响应平台披露的信息显示，铜掌柜漏洞打包泄漏60万用户的姓名、手机、银行卡和密码。该漏洞提交于12月1日，被定性为事件型漏洞，官方评级高危，目前仍处于通知厂商中。

据悉，补天漏洞响应平台对漏洞的定义分为通用漏洞与事件漏洞两种。其中，事件漏洞（即非通用型漏洞），主要是指互联网上应用的一个具体漏洞，例如，某网站命令执行可被渗透、某电商订单泄露任意充值、某网站应用SQL注入可导致信息泄露等等。

12月14日，国家互联网应急中心也对该漏洞进行了回复：“CNVD（即国家信息安全漏洞共享平台）确认所述情况，已由CNVD通过网站管理方公开联系渠道向其邮件通报，由其后续提供解决方案。”

在铜掌柜官网的“安全保障”一栏中，其宣传表示：“不仅为用户提供金融信息服务，也保障用户的信息与资金安全。铜掌柜采用128位安全加密技术与安全认证体系，保障数据与资金安全，并严格遵守所有关于可辨识个人信息保存的法规要求，确保投资人提供的所有信息都能得到机密保护。”

尽管官网上宣称其平台有多重认证和加密，然而铜掌柜仍被爆出系统存在漏洞，导致用户信息遭到泄露。实际上，互联网金融平台系统存在漏洞，进而被黑客攻击的案例不在少数。由于黑客攻击造成系统瘫痪、恶意篡改、资金被洗劫一空等，甚至出现不少平台因为黑客攻击而面临倒闭。

资深业内人士梅州评对本报记者表示，一般投资理财平台，在用户注册时都会收集用户姓名、身份证号、手机号码、银行卡号、甚至银行卡密码等大量敏感信息，如果这些信息曝露给不法分子，后者可能会利用这些泄露数据通过一些科技手段复制他人的证件或设备，登录泄密平台，窃取用户账户内的留存资金，给用户和平台造成巨大的资金风险。

“实际上，从技术角度来说，是没有绝对安全的平台，平台应该根据运营的实际情况不断增加在系统安全方面的投入，以防止因为黑客攻击造成的用户信息泄露。除此之外，还有其他非技术因素造成的用户信息泄露情况。比如平台相关技术从业人员恶意泄露用户信息，也是一个很难把控的安全问题，对于这样的问题，平台只有不断完善相关信息加密保护的制度，才能防止因为从业人员的道德风险造成的平台用户数据泄露。”梅州评认为，作为信息技术平台，技术安全是最基本的要求，平台和投资者都不应该忽视。

信披不足

资料显示，铜掌柜平台运营主体为杭州铜米互联网金融服务有限公司，是浙江首批获得“互联网金融服务”资质的公司之一，目前已获上市公司中来股份战略入股。公司成立于2014年7月，注册资本3000万元，法人代表张焱，业务主体包括跨境电商、融资租赁、供应链金融、消费分期等。截至目前，累计投资额37.5亿，活跃用户60.9万人，平均借款周期1个月，平均年化收益10.2%。

铜掌柜旗下有三款产品，铜钱宝是铜掌柜推出的一款活期理财产品；铜信宝是固收理财产品；铜政宝则是与当地****全资子公司及证券公司发行管理的资产管理计划挂钩。

经查阅铜掌柜官网，记者发现平台对于资金托管机构并未明确披露。在其官网中的“掌柜吧”上，有投资者发帖询问“铜掌柜是什么银行资金托管”，一位客服回复称，“目前银行托管政策没有出来，所以没有托管银行，资产由四大行之一的银行监管（因为同银行有君子协议，故不对外公示）。”

记者致电铜掌柜客服，询问“目前是否有资金托管”时，对方表示，“我们这边是银行进行监管的，银行监4183管就是我们的资金进出都是通过第三方的，然后资金也是在银行进行监管，而且我们账户资金安全由中国人保承包。”