“股市有風(fēng)險，投資需謹(jǐn)慎。”每家券商都會在宣傳頁面印上這行字。

如今，風(fēng)險遠不只是風(fēng)云莫測的市場。

當(dāng)你熟悉于打開券商、第三方交易平臺App，試圖抓住低買高賣的投資機會時，你是否注意到，快捷便利的操作背后，或許還有對保障數(shù)據(jù)安全的妥協(xié)。

妥協(xié)或許就會造成安全盲點。最近，多位使用同花順交易平臺的股民賬戶被盜，被非法操作高價購買某股票，遭受巨大損失，并陷入“羅生門”。

如果回到事件的起點，當(dāng)?shù)卿涰撁嬷谐霈F(xiàn)驗證碼輸入選項以及用戶預(yù)警功能，同時在交易過程中再度驗證交易密碼功能，多位業(yè)內(nèi)人士向《IT時報》記者表示，這兩道枷鎖或許能避免悲劇發(fā)生。

然而《IT時報》記者調(diào)查發(fā)現(xiàn)，為了追求操作的便捷性，多家券商App及第三方炒股平臺仍對這些安全盲點不以為意。

    01    

4月2日下午，股民楊力（化名）發(fā)現(xiàn)自己的股票賬戶出現(xiàn)異常，有人登錄了他在同花順上關(guān)聯(lián)的東興證券賬戶，并且進行了操作：楊力持有的股票全部被清倉，轉(zhuǎn)而全倉買入濟民藥業(yè)。訂單成交于當(dāng)天13點09秒。

楊力被“交易”的賬號

困惑之余，楊力聯(lián)系到東興證券工作人員。對方表示，這些操作均通過驗證交易密碼進行，系統(tǒng)在檢查交易委托時未發(fā)現(xiàn)異常。

隨后，東興證券工作人員查明，登入楊力賬號的IP地址指向廣東省廣州市，登錄設(shè)備為iPhone 7。而楊力身處浙江，用的手機是iPhone X。

楊力從東興證券查到的交易信息，黑客登入楊力賬號的IP地址指向廣東省廣州市，登錄設(shè)備均為iPhone 7

針對這一異常情況，楊力稱沒有收到來自東興證券和同花順的預(yù)警信息。

這并不是個例。《IT時報》記者通過黑貓投訴平臺聯(lián)系到有著類似遭遇的福建股民王歡（化名）。

登錄王歡股票賬戶的IP地址同樣指向廣州，而且登錄設(shè)備也是iPhone 7。出現(xiàn)異常時，預(yù)警信息同樣缺位。

4月3日（周五），濟民藥業(yè)“一字跌停”，楊力無法賣出股票。

直至下一個交易日4月6日，楊力以跌停價賣出了濟民藥業(yè)，如果不計原先持有股票的收益，單單這次交易，他損失了2萬多元。

王歡證券賬戶中近20萬元被挪動，買進濟民藥業(yè)，這讓她損失慘重。更令她痛心的是，自己所持的長線股被清倉。

王歡“被交易”的賬號

為此，楊力加入了用戶維權(quán)群，與一群“天涯淪落”人抱團取暖。據(jù)他透露，群中有一位用戶虧損了大約14萬元。

目前，王歡和楊力均向警方報案，案件仍待定性。據(jù)他們透露，同花順及相關(guān)券商會協(xié)助警方調(diào)查。

    02   

這些股票賬戶被盜的投資者，幾乎都用第三方平臺同花順進行交易。

4月10日，針對用戶股票賬戶遭惡意清空又被全倉買入莊股“濟民制藥”事件，同花順發(fā)布聲明，稱“部分投資者安全防范意識不夠?qū)е沦Y金賬戶、密碼泄露。”

同時，同花順也將矛頭對準(zhǔn)了炒股微信群，并表示部分投資者在炒股群中被騙取了證券交易賬戶和密碼。

不過楊力、王歡對同花順的聲明并不認(rèn)同。

楊力告訴《IT時報》記者，他的網(wǎng)絡(luò)防范意識較強，在發(fā)現(xiàn)賬號被盜時第一時間與券商反映，而平日里從不相信炒股群、電話薦股，不可能出現(xiàn)委托他人幫炒股等行為。

王歡也表示，沒有加入過炒股微信群，除同花順外，她沒有用過其他炒股App。這些賬戶被盜的投資者無法想通，自己的賬戶如何被盜。

極棒實驗室高級研究員宋宇昊告訴《IT時報》記者，如果出現(xiàn)大批量用戶信息泄露情況，常見的方式有拖庫和撞庫兩種。

拖庫指的是攻擊者通過廠商服務(wù)端的漏洞，訪問到數(shù)據(jù)庫，批量地下載獲取數(shù)據(jù)庫中的信息。

撞庫是利用以往從其他渠道泄露的大批量用戶名密碼信息，嘗試登錄目標(biāo)廠商的服務(wù)。

為此，記者聯(lián)系一家身份安全與信息整合技術(shù)的提供商派拉軟件，對方表示，從目前事情發(fā)展方向和網(wǎng)上部分信息推測，這起事件撞庫的可能性更大。

《IT時報》記者聯(lián)系到多位股民信息賣家，一條用戶信息售價在0.1元-0.3元，而實時數(shù)據(jù)售價為0.6元一條。

當(dāng)問及數(shù)據(jù)來源時，“技術(shù)滲透”成為標(biāo)準(zhǔn)答案，但對具體操作方式避而不談。

浙江大學(xué)網(wǎng)絡(luò)空間安全學(xué)院百人計劃研究員、博導(dǎo)周亞金表示，黑產(chǎn)可能通過收買券商、第三方平臺相關(guān)人員而獲得用戶的明文數(shù)據(jù)。

不過，對于股民數(shù)據(jù)泄露問題，同花順方面表示，目前沒有發(fā)現(xiàn)同花順賬戶被盜，也沒有證據(jù)和有關(guān)部門認(rèn)定同花順賬戶被盜。

“同花順有完善的安全機制，能有效防范不法分子的犯罪活動，確保用戶的安全?！逼浞Q。

    03   

事件過后，炒股App快捷登錄背后的安全盲點開始被關(guān)注。

股民林董（化名）沉浮股市十多年，同花順是他首選的炒股軟件?！?strong style="box-sizing: border-box;">同花順操作很方便，不像有些券商App需要輸入短信驗證碼。”

一些券商App需要輸入短信驗證碼才能登錄

在他看來，股市變幻莫測，省下時間意味著更多賺錢的機會。

《IT時報》記者測試發(fā)現(xiàn)，如果已綁定券商賬戶，登錄同花順便能直接進入交易。

在周亞金看來，券商和同花順大概率打通了后臺，能將同花順用戶映射到券商實際用戶群中，由兩者后臺自動完成。

傭金寶是一款由國金證券和騰訊合作的股票交易App，有用戶表示，如果已保存登錄賬戶和密碼，這款A(yù)pp能秒登錄秒交易，同樣沒有驗證過程。

支持同花順app秒登錄，沒有驗證過程

現(xiàn)在，情況正在發(fā)生改變。

日前，東興證券、華福證券等多家券商發(fā)布風(fēng)險提示公告，提醒用戶定期修改密碼。

國金證券直接點明，交易軟件有“交易保持在線”選項，一旦用戶勾選，在相應(yīng)時間內(nèi)免密再次登錄，可能存在很大隱患。

為了保證賬戶安全，支付寶、微信、銀行類App在異地登錄或者新設(shè)備登錄時，都需要輸入驗證碼，這本是阻擋用戶賬戶被非常侵入的一把鎖。

然而相似的情況發(fā)生在同花順及部分券商App上，之前并沒有這樣的措施。只是，賬戶登陸異常情況發(fā)生后，王歡和陳林始終未收到預(yù)警信息。

4月15日，王歡發(fā)現(xiàn)同花順App上增加新設(shè)備登錄需要輸入手機驗證碼功能。此時距離事件發(fā)生已過去近2周。

如果當(dāng)時同花順App有這一選項，一切是否會變得不同？

痛過之后，另一種反思在交易上。

如果通過支付寶、銀行等App進行轉(zhuǎn)賬時，用戶還需要驗證生物信息或交易密碼。

但是記者發(fā)現(xiàn)，同花順和多款券商App在交易過程中沒有交易密碼驗證的步驟。

這也是為什么事件發(fā)生后，王歡和楊力會產(chǎn)生是否不小心點擊“一鍵清倉”選項的錯覺。

那么，為何同為金融App，在相同情況下券商及第三方炒股App對密碼驗證的要求比銀行類App低？

上海市信息安全行業(yè)協(xié)會專家委員會副主任張威直言，金融機構(gòu)的支付系統(tǒng)直接涉及資金，安全等級要求最高，而券商的交易資金托管于銀行賬戶，實際不產(chǎn)生金融支付，因此安全等級相對較低。

“現(xiàn)行法規(guī)雖然有對數(shù)據(jù)安全保護有要求，但不會細(xì)致到支付密碼及異常預(yù)警這一步，因此在設(shè)計App時不同券商對安全策略和實際應(yīng)用間有著不同的考量?！敝軄喗鹫f。

如果回歸事件起點，同花順及關(guān)聯(lián)券商能靠近銀行App對數(shù)據(jù)安全保護的要求，或許用戶賬戶被非法交易的行為能避免。

對于App而言，啟動異地登陸、新設(shè)備登陸預(yù)警，新增登陸驗證碼和交易密碼功能，這并不難。

    04   

這不是國內(nèi)第一起券商用戶數(shù)據(jù)被泄露的事件，可能也不會是最后一例。

監(jiān)管與合規(guī)是金融市場中不變的話題，國內(nèi)用戶對數(shù)據(jù)安全和隱私保護的意識也在日益提高。

目前，監(jiān)管層面已出臺了一些法律法規(guī)，對金融App數(shù)據(jù)安全及隱私保護方面提出了更高的要求。

某城商行金融科技部負(fù)責(zé)人何愈表示，目前銀行App上的數(shù)據(jù)均采用數(shù)據(jù)脫敏、數(shù)據(jù)加密手段。

據(jù)《證券時報》報道，有技術(shù)人士認(rèn)為，券商App上即便是輸入6位數(shù)字的交易密碼也采用加密手段，可能相比第三方交易App更安全。

不過，數(shù)據(jù)安全的困境依舊存在。

周亞金指出，目前法律層面還沒能對誰是數(shù)據(jù)的擁有者做出明確界定，對第三方造成數(shù)據(jù)泄露的追責(zé)和處罰，也沒提出明確說法。

“目前諸如數(shù)據(jù)安全法一類的法律法規(guī)仍處于草案階段，距離真正實施，還有一段時間。”他補充道。這也是行業(yè)中缺少標(biāo)志性判例的原因。

周亞金表示，國內(nèi)還沒有哪家企業(yè)因自身泄露用戶數(shù)據(jù)，而付出昂貴的法律成本和賠償費用。

2018年，國外萬豪酒店因泄露多達5億客戶信息被集體訴訟索賠125億美元，被英國罰款1.24億美元。

也許，判例能起到行業(yè)警醒作用。

除了法律法規(guī)制約，從某種程度上科技或許也能有效避免事件再度上演。

在派拉軟件看來，目前很多企業(yè)已將目光轉(zhuǎn)向多因素認(rèn)證來加強認(rèn)證安全。

這主要以身份數(shù)據(jù)為基礎(chǔ)，結(jié)合用戶行為分析、設(shè)備指紋/FaceID等建立風(fēng)險引擎，引入風(fēng)險模型算法，根據(jù)用戶訪問習(xí)慣、特征判別風(fēng)險等級，智能化身份識別驗證。

在滿足用戶原有訪問形式，強化安全性，同時確保使用便捷性。

“企業(yè)沉醉于互聯(lián)網(wǎng)數(shù)字化轉(zhuǎn)型帶來的紅利時，也應(yīng)該有憂患意識，及時調(diào)整身份安全策略，滿足內(nèi)部安全控制，外部合規(guī)審計等要求。”派拉軟件相關(guān)人士表示。

而用戶何嘗不該警惕便捷背后的盲點。

作者／IT時報見習(xí)記者  孫鵬飛 

編輯／挨踢妹

排版／黃建

圖片／采訪對象 馮誠杰 網(wǎng)絡(luò)

來源／《IT時報》公眾號vittimes