IT时报见习记者孙鹏飞
　　“股市有风险，投资需谨慎。”每家券商都会在宣传页面印上这行字。
　　如今，风险远不只是风云莫测的市场。当你熟悉于打开券商、第三方交易平台App，试图抓住低买高卖的投资机会时，你是否注意到，快捷便利的操作背后，或许还有对保障数据安全的妥协。
　　妥协或许就会造成安全盲点。最近，多位使用同花顺交易平台的股民账户被盗，被非法操作高价购买某股票，遭受巨大损失，并陷入“罗生门”。
账户被盗股票买入后次日“一字跌停”
　　4月2日下午，股民杨力（化名）发现自己的股票账户出现异常，有人登录了他在同花顺上关联的东兴证券账户，并且进行了操作：杨力持有的股票全部被清仓，转而全仓买入济民药业。订单成交于当天13点09秒。
　　困惑之余，杨力联系到东兴证券工作人员。对方表示，这些操作均通过验证交易密码进行，系统在检查交易委托时未发现异常。
　　随后，东兴证券工作人员查明，登入杨力账号的IP地址指向广东省广州市，登录设备为iPhone 7。而杨力身处浙江，用的手机是iPhone X。针对这一异常情况，杨力称没有收到来自东兴证券和同花顺的预警信息。
　　这并不是个例。《IT时报》记者通过黑猫投诉平台联系到有着类似遭遇的福建股民王欢（化名）。登录王欢股票账户的IP地址同样指向广州，而且登录设备也是iPhone 7。出现异常时，预警信息同样缺位。
　　4月3日（周五），济民药业“一字跌停”，杨力无法卖出股票。直至下一个交易日4月6日，杨力以跌停价卖出了济民药业，如果不计原先持有股票的收益，单单这次交易他损失了2万多元。王欢证券账户中近20万元被挪动，买进济民药业，这让她损失惨重。更令她痛心的是，自己所持的长线股被清仓。
　　为此，杨力加入了用户维权群，与一群“天涯沦落”人抱团取暖。据他透露，群中有一位用户亏损了大约14万元。
　　目前，王欢和杨力均向警方报案，案件仍待定性。据他们透露，同花顺及相关券商会协助警方调查。
陷入“罗生门”泄密源头成谜
　　这些股票账户被盗的投资者，都是使用第三方平台同花顺进行交易。
　　4月10日，针对用户股票账户遭恶意清空又被全仓买入庄股“济民制药”事件，同花顺发布声明，称“部分投资者安全防范意识不够导致资金账户、密码泄露。”同时，同花顺也将矛头对准了炒股微信群，并表示部分投资者在炒股群中被骗取了证券交易账户和密码。
　　不过杨力、王欢对同花顺的声明并不认同。
　　杨力告诉《IT时报》记者，平日里自己从未登录过其他网站的股吧，也没有加过炒股群，所有信息来源均是同花顺，买卖交易均在同花顺App上操作。他认为自己可能是同花顺声明中被排除的“少数人”。
　　王欢也表示，没有加入过炒股微信群，除同花顺外，她没有用过其他炒股App。面对同花顺的声明，王欢心有不平，认为将账户及密码交给陌生人本是一件不可思议的事。
　　这些账户被盗的投资者无法想通，自己的账户如何被盗。
　　极棒实验室高级研究员宋宇昊告诉《IT时报》记者，如果出现大批量用户信息泄露情况，常见的方式有拖库和撞库两种。拖库指的是攻击者通过厂商服务端的漏洞，访问到数据库，批量地下载获取数据库中的信息。撞库是利用以往从其他渠道泄露的大批量用户名密码信息，尝试登录目标厂商的服务。
　　为此，记者联系新三板上市公司派拉软件。这是一家身份安全与信息整合技术的提供商，服务对象包括中国银联、华泰证券、太平保险等金融单位。派拉软件方面表示，从目前事情发展方向和网上部分信息推测，这起事件撞库的可能性更大。《IT时报》记者联系到多位股民信息卖家，一条用户信息售价在0.1元-0.3元，而实时数据售价为0.6元一条。当问及数据来源时，“技术渗透”成为标准答案，但对具体操作方式避而不谈。
　　浙江大学网络空间安全学院百人计划研究员、博导周亚金表示，目前通过技术手段获取用户数据对于地下黑产来说并不是难事。但他透露，黑产还可能通过收买券商、第三方平台相关人员而获得用户的明文数据。
交易快捷背后安全盲点受关注
　　事件过后，炒股App快捷登录背后的安全盲点开始被关注。
　　股民林董（化名）沉浮股市十多年，同花顺是他首选的炒股软件。“同花顺操作很方便，不像有些券商App 需要输入短信验证码。”在他看来，股市变幻莫测，省下时间意味着更多赚钱的机会。《IT时报》记者测试发现，如果已绑定券商账户，登录同花顺便能直接进入交易。在周亚金看来，券商和同花顺大概率打通了后台，能将同花顺用户映射到券商实际用户群中，由两者后台自动完成。
　　佣金宝是一款由国金证券和腾讯合作的股票交易App，有用户表示，如果已保存登录账户和密码，这款App能秒登录秒交易，同样没有验证过程。
　　现在，情况正在发生改变。
　　日前，东兴证券、华福证券等多家券商发布风险提示公告，提醒用户定期修改密码。国金证券直接点明，交易软件有“交易保持在线”选项，一旦用户勾选，在相应时间内免密再次登录，可能存在很大隐患。
　　为了保证账户安全，支付宝、微信、银行类App在异地登录或者新设备登录时，都需要输入验证码，这是阻挡用户账户被非常侵入的一把锁。同花顺及部分券商App之前并没有这样的措施。
　　4月15日，王欢发现同花顺App上增加新设备登录需要输入手机验证码功能。此时距离事件发生已过去近2周。如果当时同花顺App有这一选项，一切是否会变得不同？
　　同时，通过支付宝等App进行转账时也需要验证生物信息或交易密码。但是记者发现，同花顺和多款券商App在交易过程中没有交易密码验证的步骤。
　　上海市信息安全行业协会专家委员会副主任张威直言，金融机构的支付系统直接涉及资金，安全等级要求最高，而券商的交易资金托管于银行账户，实际不产生金融支付，因此安全等级相对较低。“现行法规虽然有对数据安全保护有要求，但不会细致到支付密码及异常预警这一步，因此在设计App时不同券商对安全策略和实际应用间有着不同的考量。”周亚金说。
　　如果回到事件的起点，当登录页面中出现验证码输入选项以及用户预警功能，同时在交易过程中再度验证交易密码，多位业内人士向《IT时报》记者表示，这两道枷锁或许能避免悲剧发生。
　　然而《IT时报》记者调查发现，用户依赖着便捷操作，多家券商App及第三方炒股平台仍对这些安全盲点不以为意。
数据安全困境仍存缺少标志性判例
　　这不是国内第一起券商用户数据被泄露的事件，可能也不会是最后一例。监管与合规是金融市场中不变的话题，国内用户对数据安全和隐私保护的意识也在日益提高。
　　目前，监管层面已出台了一些法律法规，对金融App数据安全及隐私保护方面提出了更高的要求。
　　某城商行金融科技部负责人何愈表示，目前银行App上的数据均采用数据脱敏、数据加密手段。据《证券时报》报道，有技术人士认为，券商App上即便是输入6位数字的交易密码也采用加密手段，可能相比第三方交易App更安全。
　　不过，数据安全的困境依旧存在。
　　周亚金指出，目前法律层面还没能对谁是数据的拥有者做出明确界定，对第三方造成数据泄露的追责和处罚，也没提出明确说法。“目前诸如数据安全法一类的法律法规仍处于草案阶段，距离真正实施，还有一段时间。”他补充道。
　　这也是行业中缺少标志性判例的原因。周亚金表示，国内还没有哪家企业因自身泄露用户数据，而付出昂贵的法律成本和赔偿费用。也许，判例能起到行业警醒作用。
　　除了法律法规制约，从某种程度上科技或许也能有效避免事件再度上演。
　　在派拉软件看来，目前很多企业已将目光转向多因素认证来加强认证安全。这主要以身份数据为基础，结合用户行为分析、设备指纹/FaceID等建立风险引擎，引入风险模型算法，根据用户访问习惯、特征判别风险等级，智能化身份识别验证。在满足用户原有访问形式，强化安全性，同时确保使用便捷性。“企业沉醉于互联网数字化转型带来的红利时，也应该有忧患意识，及时调整身份安全策略，满足内部安全控制，外部合规审计等要求。”派拉软件相关人士表示。