俗话说“福无双至,祸不单行”,这句话放在刚上市不久的趣店身上可谓合适不过。继CEO罗敏“欠款不还就当送福利了”引发IPO后首次公关危机后,昨日一本财经公众号又曝出该公司疑似学生用户数据泄露,涉及数据量高达百万级。消息一经发布,旋即引发主流科技、财经类媒体跟进报道,再次将趣店置于舆论的暴风眼中。
从一本财经及各大媒体的跟进报道——特别是它们援引的趣店离职员工的“证词”来看,此次数据泄露是证据确凿。事发至今趣店方面也未正面回应此事,一本财经报道称其公关相关负责人也闪烁其词:“趣店一直高度重视用户个人信息安全,不断提高数据安全能力与信息加密强度。”综合来看,趣店数据泄露基本上已是“实锤”了——尽管官方迄今还未发布正式声明。
极客网新金融(fromgeek)查阅网络舆情发现,趣店数据泄露已成为百度搜索热点,截至16:30以114280的搜索指数排名第29位。一个科技财经类消息能成为热搜,实在让人意外。也难怪,由于牵涉到学生信息,想不成为社会性话题都难。同时极客网新金融发现,在媒体的报道或声讨文章中,绝大部分集中在隐私保护、数据泄露、网络贷款风险等维度,鲜有质疑趣店作为一家金融科技公司的科技含量的。实际上此事或可反映出,包括趣店在内的很多所谓的科技金融或金融科技公司,其科技含量都难以名副其实。
被轻易导出的全貌数据
根据一本财经的报道,以及该报道援引的多位趣店离职员工的说法,此次泄露数据的维度极为细致,包括姓名、电话、还款额、滞纳金、逾期天数、学校、宿舍、毕业时间等详细信息;同时数据文件显示的格式为CSV,怎么看都不像是黑客入侵拖出的数据包,更像是内部人员导出的数据。
一本财经援引了多位趣店的离职员工的看法,他们均表示早期趣店的数据管理存在巨大的安全隐患,“很多人都可以导出用户数据表格,数据一览无余,没有任何脱敏,级别越高,可导出的数据越多”。其中离职员工陈怡然说,“我也曾导出过一份数据,我简单比对了一份外泄的数据,确实来自趣店。”
员工就能轻易导出如此敏感的数据,可见以金融科技公司自诩的趣店(官网宣称:趣店集团是面向5亿非信用卡人群的金融科技公司,目前公司已经开展实物分期与现金分期业务,为用户带来秒级放款和便捷分期购物体验),在内部管理上的科技使用,距离其宣言还有很远的距离。这是疑问,当前企业普遍采用的一些数据库系统,都支持各种形式的数据导出,但前提是遵从严格的权限和审批,不是人人都能触碰核心或全面数据的。
当然,如果是资深“内鬼”泄密,是有可能接触到全貌的数据的。但在成熟的企业,这样的操作也是被严格控制和监控的。数据被谁导出?什么时间?什么地点?都是记录在案且及时“报警”的。而趣店这份数据据报道称并非最新泄露,而是有一段时间了。然至今未能锁定嫌疑人防患未然或采取法律措施,可从一个侧面窥见趣店内部IT科技的局限和无奈。
频发的互金平台数据泄露
提起信息泄露或数据泄露,这在连三年前金融科技还叫互联网金融或P2P的时候,就已经不是新鲜事了。实际上,在互联网金融最火的13、14、15年,P2P平台信息泄露的消息几乎每天都在发生。这些泄露主要集中在两方面,一是平台的IT系统安全性弱,极易被黑客攻击、拖库;二是平台管理不善,人员忠诚度不够,导致员工泄密。
看前者,由于互联网金融平台在初时都是一些草根平台,人力财力的重心不在系统安全层面,其实是可以理解的。这不,最近一年来随着大浪淘沙,已经很少见到这方面的负面了。而对于后者,道德层面的风险控制(归根结底也是系统层面的风控),业界似乎一直没有找到好的解决方案;特别是趣店这样的做到上市、价值100亿美金的公司都无法规避,这就不免让人怀疑它们的水平和诚意了。
总之,在传统的金融领域,IT安全是重中之重的,因为它离钱很近很近,一旦发生事故,其损失不可估量。而到了互联网金融时代,把获客和流水放在首位的平台们,放在安全防护方面的资源可以说少之又少。及至金融科技时代,随着大平台壮大、小平台退出,原本多发的黑客攻击大幅减少了。但是,安全永远都是进行时,不是过去时或将来时。趣店就是一个最新的案例,留下来的平台不可迷恋“科技金融公司”的称谓,而要踏实做好内部安全,练就金融公司最核心的素质——安全。
免责声明:此文内容为第三方自媒体作者发布的观察或评论性文章,所有文字和图片版权归作者所有,且仅代表作者个人观点,与极客网无关。文章仅供读者参考,并请自行核实相关内容。投诉邮箱:editor@fromgeek.com。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。