30秒快读
1、股票账户被盗接盘庄股,多位股民损失惨重,矛头指向第三方炒股平台同花顺。
2、如果回归事件起点,同花顺及关联券商能靠近银行App对数据安全保护的要求,或许用户账户被非法交易的行为能避免。App启动异地登陆、新设备登陆预警,新增登陆验证码和交易密码功能,这并不难。但是,多家券商App及第三方炒股平台仍对这些安全盲点不以为意。
“股市有风险,投资需谨慎。”每家券商都会在宣传页面印上这行字。
如今,风险远不只是风云莫测的市场。
当你熟悉于打开券商、第三方交易平台App,试图抓住低买高卖的投资机会时,你是否注意到,快捷便利的操作背后,或许还有对保障数据安全的妥协。
妥协或许就会造成安全盲点。最近,多位使用同花顺交易平台的股民账户被盗,被非法操作高价购买某股票,遭受巨大损失,并陷入“罗生门”。
如果回到事件的起点,当登录页面中出现验证码输入选项以及用户预警功能,同时在交易过程中再度验证交易密码功能,多位业内人士向《IT时报》记者表示,这两道枷锁或许能避免悲剧发生。
然而《IT时报》记者调查发现,为了追求操作的便捷性,多家券商App及第三方炒股平台仍对这些安全盲点不以为意。
01
账户被盗
股票买入后次日“一字跌停”
4月2日下午,股民杨力(化名)发现自己的股票账户出现异常,有人登录了他在同花顺上关联的东兴证券账户,并且进行了操作:杨力持有的股票全部被清仓,转而全仓买入济民药业。订单成交于当天13点09秒。
杨力被“交易”的账号
困惑之余,杨力联系到东兴证券工作人员。对方表示,这些操作均通过验证交易密码进行,系统在检查交易委托时未发现异常。
随后,东兴证券工作人员查明,登入杨力账号的IP地址指向广东省广州市,登录设备为iPhone 7。而杨力身处浙江,用的手机是iPhone X。
杨力从东兴证券查到的交易信息,黑客登入杨力账号的IP地址指向广东省广州市,登录设备均为iPhone 7
针对这一异常情况,杨力称没有收到来自东兴证券和同花顺的预警信息。
这并不是个例。《IT时报》记者通过黑猫投诉平台联系到有着类似遭遇的福建股民王欢(化名)。
登录王欢股票账户的IP地址同样指向广州,而且登录设备也是iPhone 7。出现异常时,预警信息同样缺位。
4月3日(周五),济民药业“一字跌停”,杨力无法卖出股票。
直至下一个交易日4月6日,杨力以跌停价卖出了济民药业,如果不计原先持有股票的收益,单单这次交易,他损失了2万多元。
王欢证券账户中近20万元被挪动,买进济民药业,这让她损失惨重。更令她痛心的是,自己所持的长线股被清仓。
王欢“被交易”的账号
为此,杨力加入了用户维权群,与一群“天涯沦落”人抱团取暖。据他透露,群中有一位用户亏损了大约14万元。
目前,王欢和杨力均向警方报案,案件仍待定性。据他们透露,同花顺及相关券商会协助警方调查。
02
陷入“罗生门” 泄密源头成谜
这些股票账户被盗的投资者,几乎都用第三方平台同花顺进行交易。
4月10日,针对用户股票账户遭恶意清空又被全仓买入庄股“济民制药”事件,同花顺发布声明,称“部分投资者安全防范意识不够导致资金账户、密码泄露。”
同时,同花顺也将矛头对准了炒股微信群,并表示部分投资者在炒股群中被骗取了证券交易账户和密码。
不过杨力、王欢对同花顺的声明并不认同。
杨力告诉《IT时报》记者,他的网络防范意识较强,在发现账号被盗时第一时间与券商反映,而平日里从不相信炒股群、电话荐股,不可能出现委托他人帮炒股等行为。
王欢也表示,没有加入过炒股微信群,除同花顺外,她没有用过其他炒股App。这些账户被盗的投资者无法想通,自己的账户如何被盗。
极棒实验室高级研究员宋宇昊告诉《IT时报》记者,如果出现大批量用户信息泄露情况,常见的方式有拖库和撞库两种。
拖库指的是攻击者通过厂商服务端的漏洞,访问到数据库,批量地下载获取数据库中的信息。
撞库是利用以往从其他渠道泄露的大批量用户名密码信息,尝试登录目标厂商的服务。
为此,记者联系一家身份安全与信息整合技术的提供商派拉软件,对方表示,从目前事情发展方向和网上部分信息推测,这起事件撞库的可能性更大。
《IT时报》记者联系到多位股民信息卖家,一条用户信息售价在0.1元-0.3元,而实时数据售价为0.6元一条。
当问及数据来源时,“技术渗透”成为标准答案,但对具体操作方式避而不谈。
浙江大学网络空间安全学院百人计划研究员、博导周亚金表示,黑产可能通过收买券商、第三方平台相关人员而获得用户的明文数据。
不过,对于股民数据泄露问题,同花顺方面表示,目前没有发现同花顺账户被盗,也没有证据和有关部门认定同花顺账户被盗。
“同花顺有完善的安全机制,能有效防范不法分子的犯罪活动,确保用户的安全。”其称。
03
交易快捷背后
没有异常登陆预警和交易密码验证
事件过后,炒股App快捷登录背后的安全盲点开始被关注。
股民林董(化名)沉浮股市十多年,同花顺是他首选的炒股软件。“同花顺操作很方便,不像有些券商App需要输入短信验证码。”
一些券商App需要输入短信验证码才能登录
在他看来,股市变幻莫测,省下时间意味着更多赚钱的机会。
《IT时报》记者测试发现,如果已绑定券商账户,登录同花顺便能直接进入交易。
直接登录券商账号进行交易
在周亚金看来,券商和同花顺大概率打通了后台,能将同花顺用户映射到券商实际用户群中,由两者后台自动完成。
佣金宝是一款由国金证券和腾讯合作的股票交易App,有用户表示,如果已保存登录账户和密码,这款App能秒登录秒交易,同样没有验证过程。
支持同花顺app秒登录,没有验证过程
现在,情况正在发生改变。
日前,东兴证券、华福证券等多家券商发布风险提示公告,提醒用户定期修改密码。
国金证券直接点明,交易软件有“交易保持在线”选项,一旦用户勾选,在相应时间内免密再次登录,可能存在很大隐患。
为了保证账户安全,支付宝、微信、银行类App在异地登录或者新设备登录时,都需要输入验证码,这本是阻挡用户账户被非常侵入的一把锁。
然而相似的情况发生在同花顺及部分券商App上,之前并没有这样的措施。只是,账户登陆异常情况发生后,王欢和陈林始终未收到预警信息。
4月15日,王欢发现同花顺App上增加新设备登录需要输入手机验证码功能。此时距离事件发生已过去近2周。
如果当时同花顺App有这一选项,一切是否会变得不同?
痛过之后,另一种反思在交易上。
如果通过支付宝、银行等App进行转账时,用户还需要验证生物信息或交易密码。
但是记者发现,同花顺和多款券商App在交易过程中没有交易密码验证的步骤。
这也是为什么事件发生后,王欢和杨力会产生是否不小心点击“一键清仓”选项的错觉。
那么,为何同为金融App,在相同情况下券商及第三方炒股App对密码验证的要求比银行类App低?
上海市信息安全行业协会专家委员会副主任张威直言,金融机构的支付系统直接涉及资金,安全等级要求最高,而券商的交易资金托管于银行账户,实际不产生金融支付,因此安全等级相对较低。
“现行法规虽然有对数据安全保护有要求,但不会细致到支付密码及异常预警这一步,因此在设计App时不同券商对安全策略和实际应用间有着不同的考量。”周亚金说。
如果回归事件起点,同花顺及关联券商能靠近银行App对数据安全保护的要求,或许用户账户被非法交易的行为能避免。
对于App而言,启动异地登陆、新设备登陆预警,新增登陆验证码和交易密码功能,这并不难。
04
数据安全困境仍存 缺少标志性判例
这不是国内第一起券商用户数据被泄露的事件,可能也不会是最后一例。
监管与合规是金融市场中不变的话题,国内用户对数据安全和隐私保护的意识也在日益提高。
目前,监管层面已出台了一些法律法规,对金融App数据安全及隐私保护方面提出了更高的要求。
某城商行金融科技部负责人何愈表示,目前银行App上的数据均采用数据脱敏、数据加密手段。
据《证券时报》报道,有技术人士认为,券商App上即便是输入6位数字的交易密码也采用加密手段,可能相比第三方交易App更安全。
不过,数据安全的困境依旧存在。
周亚金指出,目前法律层面还没能对谁是数据的拥有者做出明确界定,对第三方造成数据泄露的追责和处罚,也没提出明确说法。
“目前诸如数据安全法一类的法律法规仍处于草案阶段,距离真正实施,还有一段时间。”他补充道。这也是行业中缺少标志性判例的原因。
周亚金表示,国内还没有哪家企业因自身泄露用户数据,而付出昂贵的法律成本和赔偿费用。
2018年,国外万豪酒店因泄露多达5亿客户信息被集体诉讼索赔125亿美元,被英国罚款1.24亿美元。
也许,判例能起到行业警醒作用。
除了法律法规制约,从某种程度上科技或许也能有效避免事件再度上演。
在派拉软件看来,目前很多企业已将目光转向多因素认证来加强认证安全。
这主要以身份数据为基础,结合用户行为分析、设备指纹/FaceID等建立风险引擎,引入风险模型算法,根据用户访问习惯、特征判别风险等级,智能化身份识别验证。
在满足用户原有访问形式,强化安全性,同时确保使用便捷性。
“企业沉醉于互联网数字化转型带来的红利时,也应该有忧患意识,及时调整身份安全策略,满足内部安全控制,外部合规审计等要求。”派拉软件相关人士表示。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。