资讯 > 极客观察 > 正文

趣店身陷数据外泄风波 金融科技公司的科技含量哪去了?

2017极客大奖年度评选-极客网

极客网·金融科技11月21日,俗话说“福无双至,祸不单行”,这句话放在刚上市不久的趣店身上可谓合适不过。继CEO罗敏“欠款不还就当送福利了”引发IPO后首次公关危机后,昨日一本财经公众号又曝出该公司疑似学生用户数据泄露,涉及数据量高达百万级。消息一经发布,旋即引发主流科技、财经类媒体跟进报道,再次将趣店置于舆论的暴风眼中。

从一本财经及各大媒体的跟进报道——特别是它们援引的趣店离职员工的“证词”来看,此次数据泄露是证据确凿。事发至今趣店方面也未正面回应此事,一本财经报道称其公关相关负责人也闪烁其词:“趣店一直高度重视用户个人信息安全,不断提高数据安全能力与信息加密强度。”综合来看,趣店数据泄露基本上已是“实锤”了——尽管官方迄今还未发布正式声明。

极客网新金融(fromgeek)查阅网络舆情发现,趣店数据泄露已成为百度搜索热点,截至16:30以114280的搜索指数排名第29位。一个科技财经类消息能成为热搜,实在让人意外。也难怪,由于牵涉到学生信息,想不成为社会性话题都难。同时极客网新金融发现,在媒体的报道或声讨文章中,绝大部分集中在隐私保护、数据泄露、网络贷款风险等维度,鲜有质疑趣店作为一家金融科技公司的科技含量的。实际上此事或可反映出,包括趣店在内的很多所谓的科技金融或金融科技公司,其科技含量都难以名副其实。

被轻易导出的全貌数据

根据一本财经的报道,以及该报道援引的多位趣店离职员工的说法,此次泄露数据的维度极为细致,包括姓名、电话、还款额、滞纳金、逾期天数、学校、宿舍、毕业时间等详细信息;同时数据文件显示的格式为CSV,怎么看都不像是黑客入侵拖出的数据包,更像是内部人员导出的数据。

一本财经援引了多位趣店的离职员工的看法,他们均表示早期趣店的数据管理存在巨大的安全隐患,“很多人都可以导出用户数据表格,数据一览无余,没有任何脱敏,级别越高,可导出的数据越多”。其中离职员工陈怡然说,“我也曾导出过一份数据,我简单比对了一份外泄的数据,确实来自趣店。”

员工就能轻易导出如此敏感的数据,可见以金融科技公司自诩的趣店(官网宣称:趣店集团是面向5亿非信用卡人群的金融科技公司,目前公司已经开展实物分期与现金分期业务,为用户带来秒级放款和便捷分期购物体验),在内部管理上的科技使用,距离其宣言还有很远的距离。这是疑问,当前企业普遍采用的一些数据库系统,都支持各种形式的数据导出,但前提是遵从严格的权限和审批,不是人人都能触碰核心或全面数据的。

当然,如果是资深“内鬼”泄密,是有可能接触到全貌的数据的。但在成熟的企业,这样的操作也是被严格控制和监控的。数据被谁导出?什么时间?什么地点?都是记录在案且及时“报警”的。而趣店这份数据据报道称并非最新泄露,而是有一段时间了。然至今未能锁定嫌疑人防患未然或采取法律措施,可从一个侧面窥见趣店内部IT科技的局限和无奈。

频发的互金平台数据泄露

提起信息泄露或数据泄露,这在连三年前金融科技还叫互联网金融或P2P的时候,就已经不是新鲜事了。实际上,在互联网金融最火的13、14、15年,P2P平台信息泄露的消息几乎每天都在发生。这些泄露主要集中在两方面,一是平台的IT系统安全性弱,极易被黑客攻击、拖库;二是平台管理不善,人员忠诚度不够,导致员工泄密。

看前者,由于互联网金融平台在初时都是一些草根平台,人力财力的重心不在系统安全层面,其实是可以理解的。这不,最近一年来随着大浪淘沙,已经很少见到这方面的负面了。而对于后者,道德层面的风险控制(归根结底也是系统层面的风控),业界似乎一直没有找到好的解决方案;特别是趣店这样的做到上市、价值100亿美金的公司都无法规避,这就不免让人怀疑它们的水平和诚意了。

总之,在传统的金融领域,IT安全是重中之重的,因为它离钱很近很近,一旦发生事故,其损失不可估量。而到了互联网金融时代,把获客和流水放在首位的平台们,放在安全防护方面的资源可以说少之又少。及至金融科技时代,随着大平台壮大、小平台退出,原本多发的黑客攻击大幅减少了。但是,安全永远都是进行时,不是过去时或将来时。趣店就是一个最新的案例,留下来的平台不可迷恋“科技金融公司”的称谓,而要踏实做好内部安全,练就金融公司最核心的素质——安全。

+加载更多