日前,據悉,P2P平臺你我貸的65000條貸款數據在暗網被明碼標價售賣。賣方稱數據是從線下渠道流出,截止到今年10月中旬以前。5000條數據售價60美元,全套需要拍10份。
從目前賣家公開的截圖可以看出,售賣的數據有三個維度,用戶真實姓名,手機號和所在地區。
媒體向你我貸相關負責人反映了上述情況,你我貸方面表示,他們已經開始核實用戶數據的真實性,并啟動內部調查。
這是自上個月黑客在暗網,以一個比特幣的價格出售30萬玖融網用戶數據后,第二起互金平臺用戶數據遭泄露事件。
暗網通常是指那些存儲在網絡數據庫里、但不能通過超鏈接訪問而需要通過動態網頁技術訪問的資源集合,不屬于那些可以被標準搜索引擎索引的表面網絡。暗網里的交易沒有第三方擔保,一切行為責任均自負。
誰該對此負責?
2018年8月,全國P2P網絡借貸風險專項整治工作領導小組辦公室向各省市網貸整治辦下發開展網貸機構合規檢查工作的通知。隨此通知下發的《網絡借貸信息中介機構合規檢查問題清單》(以下簡稱“108條”)中對未能安全地采集、處理及使用出借人、借款人信息做出了明確規定。
“108條”明確,未制定客戶信息采集、使用及處理方面的安全保護制度,刪除、篡改客戶信息,未經同意將客戶信息用于所提供服務之外目的、未經同意泄露、傳播、買賣客戶信息等,均屬不合規行為。
作者在安裝你我貸APP時發現,你我貸需要用戶提供讀取照片、通訊錄、位置信息和電話狀態等權限,如果選擇拒絕提供,則無法繼續使用你我貸APP,直到授予權限為止方可使用。
你我貸并沒有告知用戶,索取權限的理由和用途。在用戶協議中的用戶信息及隱私權保護部分當中,也沒有提到《網絡借貸信息中介機構合規檢查問題清單》中對制定客戶信息采集、使用及處理方面的安全保護制度,而且充滿了大量疑似“免責條款”的嫌疑。
11月28日,中國消費者協會公布的《100款App個人信息收集與隱私政策測評報告》中指出,金融理財類App普遍存在的問題有,信息涉嫌過度收集或使用和出現“自愿承擔風險,個人承擔一切責任”的不合理免責條款。很顯然,一些互金平臺并沒有嚴格遵守監管部門的規定。
用戶數據泄露為何屢禁不止?
用戶數據泄露主要就是內和外兩大源頭,需要企業在技術能力、資金投入、風險防范意識和懲戒機制上不斷努力。外部主要是黑客攻擊和一些不法專業技術人員。防范他們,關鍵在于加強自身信息化建設,數據加密和脫敏技術,多學習借鑒行業領先者的經驗,防患于未然。
內部源頭泄露比較復雜,既需要企業自查自糾,還需要社會力量共同配合。
網絡安全專家表示,互金平臺不妨向銀行等大型金融機構看齊,學習借鑒他們的管理經驗。從問責手段、標準、程序以及違規信息報送等方面部署,建立一套包括內部問責、監管問責和司法問責在內的違規行為問責體系。只要發現內部有不法分子,立刻上報給公安機關處理。