對(duì)于投資者而言，P2P風(fēng)控除了自身業(yè)務(wù)之外，平臺(tái)系統(tǒng)的安全性也同樣值得關(guān)注。

近日，補(bǔ)天漏洞響應(yīng)平臺(tái)爆出重慶網(wǎng)貸平臺(tái)易九金融的系統(tǒng)存在漏洞，導(dǎo)致上萬用戶數(shù)據(jù)泄露。

[[155411]]

此外，曾有投資者在網(wǎng)絡(luò)上質(zhì)疑易九金融與平臺(tái)資金第三方托管機(jī)構(gòu)——重慶易極付科技有限公司(以下簡(jiǎn)稱“易極付”)均屬重慶博恩科技集團(tuán)，用戶資金安全或存風(fēng)險(xiǎn)。

基于此，記者致電了易九金融采訪。

對(duì)于上述問題，平臺(tái)一位負(fù)責(zé)人以短信形式進(jìn)行了回復(fù)。她表示，易極付是第三方支付公司，有央行和相應(yīng)的監(jiān)管銀行進(jìn)行資金的監(jiān)管。因此，平臺(tái)絕對(duì)沒有設(shè)立資金池，資金流向也非常清晰。而對(duì)于補(bǔ)天漏洞響應(yīng)平臺(tái)爆出的漏洞問題，對(duì)方則表示暫時(shí)沒有接到客戶投訴。

平臺(tái)漏洞屬高危級(jí)別

根據(jù)補(bǔ)天漏洞響應(yīng)平臺(tái)官網(wǎng)上的信息顯示，易九金融的漏洞被描述為“存在信息泄露、資金操作風(fēng)險(xiǎn)”，官方評(píng)為高危級(jí)別。漏洞提交時(shí)間為2015年11月1日，被定為事件型漏洞，目前正處于通知廠商中(即易九金融)。

據(jù)記者了解，補(bǔ)天漏洞響應(yīng)平臺(tái)對(duì)漏洞的定義分為通用漏洞與事件漏洞兩種。其中，事件漏洞(即非通用型漏洞)，主要是指互聯(lián)網(wǎng)上應(yīng)用的一個(gè)具體漏洞，例如，某網(wǎng)站命令執(zhí)行可被滲透、某電商訂單泄漏任意充值、某網(wǎng)站應(yīng)用SQL注入可導(dǎo)致信息泄露等等。

在易九金融官網(wǎng)上的“安全保障”中，對(duì)平臺(tái)系統(tǒng)安全性的描述為“平臺(tái)IT系統(tǒng)為本公司自主研發(fā)，通過內(nèi)外網(wǎng)完全隔離、高等級(jí)訪問控制、入侵防范、行為監(jiān)控、高標(biāo)準(zhǔn)數(shù)據(jù)加密等一系列保障措施，確保用戶信息與交易信息的數(shù)據(jù)安全。同時(shí)建立了異地備份數(shù)據(jù)中心，制定了多套災(zāi)備應(yīng)急方案，確保發(fā)生緊急事件時(shí)避免存儲(chǔ)數(shù)據(jù)丟失，保證核心設(shè)備正常運(yùn)行”。

上述平臺(tái)負(fù)責(zé)人在回復(fù)記者時(shí)，首先表示目前暫時(shí)沒有收到客戶投訴信息泄露的問題，此后亦表示，平臺(tái)擁有獨(dú)立IT團(tuán)隊(duì)，一直在維護(hù)和升級(jí)系統(tǒng)，肯定會(huì)以客戶利益為首。

隨著P2P兩年多以來的野蠻生長，平臺(tái)風(fēng)控安全已不僅僅只局限在業(yè)務(wù)模式上，系統(tǒng)安全亦十分重要。全國人大財(cái)經(jīng)委員會(huì)副主任吳曉靈曾公開表示，根據(jù)世界反黑客組織的最新通報(bào)，中國P2P已經(jīng)成為全世界黑客宰割的羔羊。業(yè)內(nèi)人士亦表示，黑客頻繁高強(qiáng)度的攻擊，已然是行業(yè)內(nèi)“公開的秘密”。

據(jù)相關(guān)數(shù)據(jù)顯示，截至2014年底，已有近165家P2P平臺(tái)由于黑客攻擊造成系統(tǒng)癱瘓、惡意篡改、資金被洗劫一空等，甚至有不少平臺(tái)因?yàn)楹诳凸舳媾R倒閉。例如，去年中旬，深圳曉風(fēng)軟件公司服務(wù)的一百多家P2P平臺(tái)被爆存系統(tǒng)漏洞，遭黑客攻擊，導(dǎo)致很大一部分被攻擊的P2P平臺(tái)損失慘重。

資深業(yè)內(nèi)人士對(duì)本報(bào)記者表示，P2P作為信息技術(shù)平臺(tái)，技術(shù)安全是最基本的要求。在實(shí)際操作中，平臺(tái)和投資者都應(yīng)重視系統(tǒng)安全問題，對(duì)平臺(tái)而言，如若自身無法把控，則可以聘請(qǐng)相關(guān)第三方安全認(rèn)證機(jī)構(gòu)。

“一般而言，平臺(tái)會(huì)掌控用戶的身份證號(hào)，銀行卡號(hào)，綁定銀行卡的手機(jī)號(hào)，甚至身份證原件圖片，如果使用快捷支付，有些平臺(tái)甚至?xí)涗浵鄳?yīng)銀行卡的取款密碼，如果這些信息泄露，被一些不法分子掌握，對(duì)用戶的資金安全來講無疑是滅頂之災(zāi)。”該人士表示。

資金托管機(jī)構(gòu)與平臺(tái)屬同一集團(tuán)

重慶易九金融服務(wù)有限公司(即易九金融運(yùn)營公司)成立于2013年6月，注冊(cè)資本3000萬元人民幣，公司法人王希婭，股東是重慶易一天使投資有限公司、陳林和張鵬，平臺(tái)平均收益在8.7%，投資期限主要以4~6個(gè)月為主，投資種類分為“投融保”和“政融保”。經(jīng)營范圍包括：投融資咨詢服務(wù)、信用管理、資產(chǎn)管理、企業(yè)信用管理、商務(wù)信息咨詢服務(wù)等。

官網(wǎng)顯示，易九金融是由重慶博恩科技集團(tuán)(以下簡(jiǎn)稱“博恩集團(tuán)”)全資擁有的重慶易一天使投資公司聯(lián)合自然人共同發(fā)起創(chuàng)立。博恩集團(tuán)是一家以軟件、互聯(lián)網(wǎng)為主業(yè)的大型科技集團(tuán)，旗下知名企業(yè)包括全球最大威客網(wǎng)——重慶豬八戒網(wǎng)絡(luò)有限公司，重慶唯一一家同時(shí)擁有互聯(lián)網(wǎng)第三方支付牌照、基金銷售支付結(jié)算牌照、跨境電子商務(wù)外匯支付牌照的第三方支付公司——易極付等。

值得注意的是，記者在官網(wǎng)上并沒有明確提示平臺(tái)第三方資金托管機(jī)構(gòu)名稱。在“安全保障”中“第三方支付機(jī)構(gòu)托管資金賬戶”中顯示，“參與交易的各方均在第三方支付機(jī)構(gòu)開設(shè)獨(dú)立的資金托管賬戶，所有資金劃付指令由客戶通過平臺(tái)向第三方支付機(jī)構(gòu)發(fā)出。第三方支付機(jī)構(gòu)為獲中國人民銀行頒發(fā)的互聯(lián)網(wǎng)支付結(jié)算牌照的企業(yè)，其資金托管業(yè)務(wù)在央行的嚴(yán)格監(jiān)管之下。通過第三方機(jī)構(gòu)對(duì)資金賬戶托管，平臺(tái)與客戶資金嚴(yán)格隔離，杜絕挪用、自融、非法集資等風(fēng)險(xiǎn)”。

在記者致電易九金融時(shí)，對(duì)方回應(yīng)稱，平臺(tái)資金確實(shí)由第三方支付機(jī)構(gòu)——易極付進(jìn)行資金托管。不過，該負(fù)責(zé)人表示，易極付是第三方支付公司，有央行和相關(guān)監(jiān)管銀行進(jìn)行監(jiān)管，平臺(tái)絕對(duì)沒有設(shè)立資金池，資金流向也非常清晰。

中倫文德律師事務(wù)所高級(jí)合伙人、互聯(lián)網(wǎng)金融法律顧問團(tuán)隊(duì)負(fù)責(zé)人陳云峰表示，一則是理論上的，另一側(cè)是實(shí)踐操作上的。理論上，根據(jù)十部委意見是不容許設(shè)立資金池的。而安全操作實(shí)務(wù)方面，如果一個(gè)平臺(tái)能遵守規(guī)則，那么它是安全的，反之則不安全。

“平臺(tái)與第三方資金托管機(jī)構(gòu)這種情況屬于關(guān)聯(lián)公司，不是不可以，不過應(yīng)該向投資人公開并設(shè)置制度防止利益輸送。”北京大成律師事務(wù)所合伙人肖颯說。

資深業(yè)內(nèi)人士楊濤認(rèn)為，目前的P2P資金托管模式中，常用的還是互聯(lián)網(wǎng)支付公司的托管模式，其實(shí)這種托管模式嚴(yán)格來講也是資金池模式，只是資金池管理是支付公司(沒有托管的P2P也是資金池，但資金池管理是P2P公司)。在今年7月出臺(tái)的支付公司監(jiān)管政策之前，這是這些公司心照不宣的秘密，同時(shí)第三方支付公司在做其他業(yè)務(wù)時(shí)，也會(huì)產(chǎn)生數(shù)量巨大的沉淀資金，而資金的管理全部由第三方支付公司自由掌控。雖然這些資金也在銀行存放，但只是存放在第三方支付公司的不同戶頭上的，銀行是不會(huì)監(jiān)管資金流動(dòng)的去向的，跟普通人在銀行開賬戶存取錢一樣，銀行是沒有義務(wù)確定資金是否屬于儲(chǔ)戶。

今年8月，由于涉嫌違規(guī)挪用客戶備付金等違法犯罪行為，浙江易士企業(yè)管理服務(wù)有限公司被央行正式吊銷《支付業(yè)務(wù)許可證》，成為國內(nèi)首家《支付業(yè)務(wù)許可證》注銷企業(yè)。央行“零容忍”的明確態(tài)度也被業(yè)內(nèi)人士解讀，央行為第三方支付機(jī)構(gòu)敲響了警鐘，也意味著日后央行對(duì)第三方支付機(jī)構(gòu)的監(jiān)管將越來越嚴(yán)格。

此外，記者發(fā)現(xiàn)易九金融的標(biāo)的借款金額都在百萬級(jí)別以上，起投金額也在萬元以上，資金主要用于項(xiàng)目流動(dòng)需求。其中，“投融保”是平臺(tái)簽約的國有擔(dān)保公司將其評(píng)審?fù)ㄟ^的投資接收人推薦到平臺(tái)進(jìn)行融資，而“政融保”是聯(lián)合各省、市、區(qū)、縣政府控制的國有公司推出的P2G直融項(xiàng)目。

有業(yè)內(nèi)人士對(duì)記者表示，在實(shí)體經(jīng)濟(jì)疲軟、地方債高企的大環(huán)境下，眾多百萬級(jí)別借款金額的企業(yè)，其兌付能力也有待考量。