為何我的股票被清倉了？_風聞

30秒快讀

1 股票賬户被盜接盤莊股，多位股民損失慘重，矛頭指向第三方炒股平台同花順。

2 如果迴歸事件起點，同花順及關聯券商能靠近銀行App對數據安全保護的要求，或許用户賬户被非法交易的行為能避免。App啓動異地登陸、新設備登陸預警，新增登陸驗證碼和交易密碼功能，這並不難。但是，多家券商App及第三方炒股平台仍對這些安全盲點不以為意。

“股市有風險，投資需謹慎。”每家券商都會在宣傳頁面印上這行字。

如今，風險遠不只是風雲莫測的市場。

當你熟悉於打開券商、第三方交易平台App，試圖抓住低買高賣的投資機會時，你是否注意到，快捷便利的操作背後，或許還有對保障數據安全的妥協。

妥協或許就會造成安全盲點。最近，多位使用同花順交易平台的股民賬户被盜，被非法操作高價購買某股票，遭受巨大損失，並陷入“羅生門”。

如果回到事件的起點，當登錄頁面中出現驗證碼輸入選項以及用户預警功能，同時在交易過程中再度驗證交易密碼功能，多位業內人士向《IT時報》記者表示，這兩道枷鎖或許能避免悲劇發生。

然而《IT時報》記者調查發現，為了追求操作的便捷性，多家券商App及第三方炒股平台仍對這些安全盲點不以為意。

01

賬户被盜

股票買入後次日“一字跌停”

4月2日下午，股民楊力（化名）發現自己的股票賬户出現異常，有人登錄了他在同花順上關聯的東興證券賬户，並且進行了操作：楊力持有的股票全部被清倉，轉而全倉買入濟民藥業。訂單成交於當天13點09秒。

楊力被“交易”的賬號

困惑之餘，楊力聯繫到東興證券工作人員。對方表示，這些操作均通過驗證交易密碼進行，系統在檢查交易委託時未發現異常。

隨後，東興證券工作人員查明，登入楊力賬號的IP地址指向廣東省廣州市，登錄設備為iPhone 7。而楊力身處浙江，用的手機是iPhone X。

楊力從東興證券查到的交易信息，黑客登入楊力賬號的IP地址指向廣東省廣州市，登錄設備均為iPhone 7

針對這一異常情況，楊力稱沒有收到來自東興證券和同花順的預警信息。

這並不是個例。《IT時報》記者通過黑貓投訴平台聯繫到有着類似遭遇的福建股民王歡（化名）。

登錄王歡股票賬户的IP地址同樣指向廣州，而且登錄設備也是iPhone 7。出現異常時，預警信息同樣缺位。

4月3日（週五），濟民藥業“一字跌停”，楊力無法賣出股票。

直至下一個交易日4月6日，楊力以跌停價賣出了濟民藥業，如果不計原先持有股票的收益，單單這次交易，他損失了2萬多元。

王歡證券賬户中近20萬元被挪動，買進濟民藥業，這讓她損失慘重。更令她痛心的是，自己所持的長線股被清倉。

王歡“被交易”的賬號

為此，楊力加入了用户維權羣，與一羣“天涯淪落”人抱團取暖。據他透露，羣中有一位用户虧損了大約14萬元。

目前，王歡和楊力均向警方報案，案件仍待定性。據他們透露，同花順及相關券商會協助警方調查。

02

陷入“羅生門”   泄密源頭成謎

這些股票賬户被盜的投資者，幾乎都用第三方平台同花順進行交易。

4月10日，針對用户股票賬户遭惡意清空又被全倉買入莊股“濟民製藥”事件，同花順發布聲明，稱“部分投資者安全防範意識不夠導致資金賬户、密碼泄露。”

同時，同花順也將矛頭對準了炒股微信羣，並表示部分投資者在炒股羣中被騙取了證券交易賬户和密碼。

不過楊力、王歡對同花順的聲明並不認同。

楊力告訴《IT時報》記者，他的網絡防範意識較強，在發現賬號被盜時第一時間與券商反映，而平日裏從不相信炒股羣、電話薦股，不可能出現委託他人幫炒股等行為。

王歡也表示，沒有加入過炒股微信羣，除同花順外，她沒有用過其他炒股App。這些賬户被盜的投資者無法想通，自己的賬户如何被盜。

極棒實驗室高級研究員宋宇昊告訴《IT時報》記者，如果出現大批量用户信息泄露情況，常見的方式有拖庫和撞庫兩種。

拖庫指的是攻擊者通過廠商服務端的漏洞，訪問到數據庫，批量地下載獲取數據庫中的信息。

撞庫是利用以往從其他渠道泄露的大批量用户名密碼信息，嘗試登錄目標廠商的服務。

為此，記者聯繫一家身份安全與信息整合技術的提供商派拉軟件，對方表示，從目前事情發展方向和網上部分信息推測，這起事件撞庫的可能性更大。

《IT時報》記者聯繫到多位股民信息賣家，一條用户信息售價在0.1元-0.3元，而實時數據售價為0.6元一條。

當問及數據來源時，“技術滲透”成為標準答案，但對具體操作方式避而不談。

浙江大學網絡空間安全學院百人計劃研究員、博導周亞金表示，黑產可能通過收買券商、第三方平台相關人員而獲得用户的明文數據。

不過，對於股民數據泄露問題，同花順方面表示，目前沒有發現同花順賬户被盜，也沒有證據和有關部門認定同花順賬户被盜。

“同花順有完善的安全機制，能有效防範不法分子的犯罪活動，確保用户的安全。”其稱。

03

交易快捷背後

沒有異常登陸預警和交易密碼驗證

事件過後，炒股App快捷登錄背後的安全盲點開始被關注。

股民林董（化名）沉浮股市十多年，同花順是他首選的炒股軟件。“同花順操作很方便，不像有些券商App需要輸入短信驗證碼。”

一些券商App需要輸入短信驗證碼才能登錄

在他看來，股市變幻莫測，省下時間意味着更多賺錢的機會。

《IT時報》記者測試發現，如果已綁定券商賬户，登錄同花順便能直接進入交易。

直接登錄券商賬號進行交易

在周亞金看來，券商和同花順大概率打通了後台，能將同花順用户映射到券商實際用户羣中，由兩者後台自動完成。

佣金寶是一款由國金證券和騰訊合作的股票交易App，有用户表示，如果已保存登錄賬户和密碼，這款App能秒登錄秒交易，同樣沒有驗證過程。

支持同花順app秒登錄，沒有驗證過程

現在，情況正在發生改變。

日前，東興證券、華福證券等多家券商發佈風險提示公告，提醒用户定期修改密碼。

國金證券直接點明，交易軟件有“交易保持在線”選項，一旦用户勾選，在相應時間內免密再次登錄，可能存在很大隱患。

為了保證賬户安全，支付寶、微信、銀行類App在異地登錄或者新設備登錄時，都需要輸入驗證碼，這本是阻擋用户賬户被非常侵入的一把鎖。

然而相似的情況發生在同花順及部分券商App上，之前並沒有這樣的措施。只是，賬户登陸異常情況發生後，王歡和陳林始終未收到預警信息。

4月15日，王歡發現同花順App上增加新設備登錄需要輸入手機驗證碼功能。此時距離事件發生已過去近2周。

如果當時同花順App有這一選項，一切是否會變得不同？

痛過之後，另一種反思在交易上。

如果通過支付寶、銀行等App進行轉賬時，用户還需要驗證生物信息或交易密碼。

但是記者發現，同花順和多款券商App在交易過程中沒有交易密碼驗證的步驟。

這也是為什麼事件發生後，王歡和楊力會產生是否不小心點擊“一鍵清倉”選項的錯覺。

那麼，為何同為金融App，在相同情況下券商及第三方炒股App對密碼驗證的要求比銀行類App低？

上海市信息安全行業協會專家委員會副主任張威直言，金融機構的支付系統直接涉及資金，安全等級要求最高，而券商的交易資金託管於銀行賬户，實際不產生金融支付，因此安全等級相對較低。

“現行法規雖然有對數據安全保護有要求，但不會細緻到支付密碼及異常預警這一步，因此在設計App時不同券商對安全策略和實際應用間有着不同的考量。”周亞金説。

如果迴歸事件起點，同花順及關聯券商能靠近銀行App對數據安全保護的要求，或許用户賬户被非法交易的行為能避免。

對於App而言，啓動異地登陸、新設備登陸預警，新增登陸驗證碼和交易密碼功能，這並不難。

04

數據安全困境仍存****缺少標誌性判例

這不是國內第一起券商用户數據被泄露的事件，可能也不會是最後一例。

監管與合規是金融市場中不變的話題，國內用户對數據安全和隱私保護的意識也在日益提高。

目前，監管層面已出台了一些法律法規，對金融App數據安全及隱私保護方面提出了更高的要求。

某城商行金融科技部負責人何愈表示，目前銀行App上的數據均採用數據脱敏、數據加密手段。

據《證券時報》報道，有技術人士認為，券商App上即便是輸入6位數字的交易密碼也採用加密手段，可能相比第三方交易App更安全。

不過，數據安全的困境依舊存在。

周亞金指出，目前法律層面還沒能對誰是數據的擁有者做出明確界定，對第三方造成數據泄露的追責和處罰，也沒提出明確説法。

“目前諸如數據安全法一類的法律法規仍處於草案階段，距離真正實施，還有一段時間。”他補充道。這也是行業中缺少標誌性判例的原因。

周亞金表示，國內還沒有哪家企業因自身泄露用户數據，而付出昂貴的法律成本和賠償費用。

2018年，國外萬豪酒店因泄露多達5億客户信息被集體訴訟索賠125億美元，被英國罰款1.24億美元。

也許，判例能起到行業警醒作用。

除了法律法規制約，從某種程度上科技或許也能有效避免事件再度上演。

在派拉軟件看來，目前很多企業已將目光轉向多因素認證來加強認證安全。

這主要以身份數據為基礎，結合用户行為分析、設備指紋/FaceID等建立風險引擎，引入風險模型算法，根據用户訪問習慣、特徵判別風險等級，智能化身份識別驗證。

在滿足用户原有訪問形式，強化安全性，同時確保使用便捷性。

“企業沉醉於互聯網數字化轉型帶來的紅利時，也應該有憂患意識，及時調整身份安全策略，滿足內部安全控制，外部合規審計等要求。”派拉軟件相關人士表示。

而用户何嘗不該警惕便捷背後的盲點。

作者／IT時報見習記者  孫鵬飛

編輯／挨踢妹

排版／黃建

圖片／採訪對象 馮誠傑 網絡

來源／《IT時報》公眾號vittimes