江苏龙网

  1. 首页 > 人文 > >

新浪旗下“新浪分期”、“浪小花”账户密码安全性垫底


新浪旗下“新浪分期”、“浪小花”账户密码安全性垫底
文章图片

新浪旗下“新浪分期”、“浪小花”账户密码安全性垫底
文章图片

金融合规分析之 互金
特殊的2020年行进过半 , 我国经济正逐渐展现复苏、韧性、活力的姿态 , “六稳六保”工作落地有声 。 为进一步助力“识变应变”“补短强弱” , 南方都市报今起推出“财经半年报”数据智库产品 , 着眼金融机构合规分析、资本市场风险观察、广东上市公司质量研报等方面展开系列报道 。 从智媒角度 , 为机构及企业的行稳致远 , 提供参考 。 本期为金融机构合规分析之互金篇 。
随着一批批移动金融App备案名单出炉 , 规范金融数据安全也成为2020年上半年金融科技监管工作的主旋律 , 尤其密码防护、个人信息安全等方面 , 是治理的聚焦点 。 为给金融App治理工作进一步提供参考 , 南都金融合规研究课题组 , 以去年11月央行下发的《移动金融客户端应用软件安全管理规范》为依据 , 从消费者角度 , 针对64个主流移动金融App , 围绕身份认证、密码操作和个人金融信息展示等维度进行实测 , 形成“2020财经半年报”之移动金融App账户密码安全合规榜 。 结果显示 , 近七成所测App在登录、交易页面存在密码安全隐患 。
南都金融合规研究课题组参考《移动金融客户端应用软件安全管理规范》(以下简称“规范”) , 设定了包括身份认证安全、密码操作安全和个人金融信息展示安全在内的3个一级维度、29个分项指标 。 通过下载、注册、实操使用等环节 , 对64个常用的移动金融App进行了两周的专项测评 , 主要涉及互联网公司旗下互金App 22个、金融科技公司旗下互金App 19个、消费金融公司App 23个 。

近两成被测移动金融App账户安全不及格

从整体排名情况来看 , 分数在80分以上的被测互金App与分数未达到60分的各占近两成 。 在“相对优秀生”中 , 60%以上都是持牌金融机构的消费金融公司旗下App;而在“相对后进生”中 , 近60%都是互联网公司旗下的App 。
百度系的两款App“有钱花”和“度小满金融”拔得头筹 , “支付宝”位列第6 。 值得注意的是 , 处于及格线以下的App中 , 也有的来自互联网巨头公司和头部金融科技企业 , 如新浪系的3个被测App“新浪金融”、“新浪分期”和“浪小花”都在垫底行列中 , 360金融旗下的“360信用生活”、小米金融旗下的“小米贷款”、金山集团旗下的“金山金融”和众安科技旗下的“众安小贷”成绩也不理想 。

七成被测App可截屏密码

具体来看 , 比较严重的安全隐患集中在用户进行身份认证时的信息外泄问题 。 根据《规范》要求 , 客户端应用软件应设置身份认证过程的防截屏、录屏 。 但实测发现 , 近七成被测移动金融App在用户输入登录密码、登录验证码、交易密码 , 修改登录密码、交易密码时均无防截屏、录屏的功能 。
南都金融合规研究课题组测评发现 , 在实名认证时 , 要求用户上传身份证图片 , 但未做敏感信息收集用途的承诺 , 存在身份证图片外泄风险 。 近半数所测App要求用户上传身份证正反面图片 , 但却无“仅用于身份验证”的水印 , 页面亦无任何安全性提示或承诺;另有两成被测App虽然未打水印 , 但在上传页面作出“仅为平台审核用”等安全性承诺;只有“支付宝”、“有钱花”、“度小满金融”、“维信卡卡贷”、“你我贷借款”、“还呗”和“小花钱包”7个App在用户上传的身份证正反面图片上打水印提示“仅为平台审核用” 。

顺丰金融App等可展示用户信息

此外 , 《规范》要求 , 除交易对账、转账收款方确认等必须由用户确认的情况外 , 客户端应用软件在显示个人信息时 , 屏蔽关键字段 。 从测评记录来看 , 被测试App在对个人金融信息进行屏蔽展示方面做得都还不错 , 但有个别App对用户姓名进行了全部展示 , 例如“金山金融”、“顺丰金融”、“分期乐”、“拍拍贷借款”、“维信卡卡贷”;而“马上金融”、“小米贷款”未做屏蔽展示了用户的手机号码;“翼支付”未做屏蔽展示了用户的身份证住址 。

苏宁消费金融等支付密码可设为123456

除了身份认证信息的外泄 , 更需要关注的是密码操作安全 , 这里的“密码操作安全” , 包括登录App、在App内进行交易的认证要素安全和口令安全 。
《规范》要求 , 在用户身份认证后 , 客户端应用软件进入终端系统后台时 , 如果超过设定时限后被唤醒切换到前台 , 应采取措施对用户身份重新认证 。 南都金融合规研究课题组测评发现 , 本次测评中 , 近半数被测移动金融App进入后台运行后再次唤醒时 , 处于默认登录状态 , 无需进行再次验证 , 其中包括“京东金融”、“苏宁金融”等 。 不过 , 南都采访人员发现 , 上述App可以在其“安全设置”板块内进行个性化设置 , 完成设置后 , 即可添加指纹、手势、刷脸等验证方式 , 但需要用户自主手动添加 , 而其他未检测出默认登录的App则主动引导用户进行重新认证 。
南都金融合规研究课题组还发现 , 有部分App登录时的身份认证要素和方式太过单一 。 测试记录显示 , 有四分之一的被测App引导用户使用“本机号码一键登录”功能 , 虽然看起来比较方便 , 但这意味着任何一个拿到这台手机的人都可以在一款移动金融类App上来去自如 。 值得一提的是 , 消费金融公司旗下的所有App , 都不允许使用“本机号码一键登录”功能 。 《规范》要求 , 移动金融App须采用两种或两种以上的要素对用户身份进行认证 , 而“众安小贷”只能提供“本机号码一键登录”这一种登录验证方式 , 无法自主设置登录密码 。
更为突出的问题在于 , 有超10%的被测App缺乏密码复杂度校验功能 , 密码安全存在隐患 。 《规范》规定 , App应采取有效措施提醒用户避免设置与常用软件、网站相同或相似的用户名和密码组合 , 并采取有效措施引导客户设置独立的支付密码 。 但测评中发现 , 如“新浪分期”、“永辉金融”、“小赢分期”、“中银消费金融”、“消邦”、“苏宁消费金融”等App , 允许用户将“123456”、“111111”这类连续数字串作为登录密码或支付密码;“携程金融”的登录密码和支付密码一致 , 并未独立设置支付密码;还有“滴滴金融”、“金山金融”等23个App并未限制修改的登录密码不能与原密码相同 。
测评标准说明
本次测评 , 设定了身份认证安全、密码操作安全和个人金融信息展示安全的3个一级维度 。 满分100分 , 计分权重分别占比50%、40%和10% 。
在“身份认证安全”维度中 , 涉及用户登录App时 , 是否采用适宜的验证要素、用户进行身份认证时是否有防截屏录屏功能等14个具体指标 。 其中 , 南都金融合规研究课题组重点考查了App在要求用户上传身份证信息时 , 具体如何处理身份证图片这类隐私信息 。
在“密码操作安全”维度中 , 涉及用户输入密码时是否有防护、修改登录密码、支付密码 , 对用户的验证措施如何等11个具体指标 。
在“个人金融信息展示安全”维度中 , 主要测评了App在未登录、已登录、认证失败状态时 , 如何展示用户个人信息 , 是否有对银行账号、身份证号码、手机号码、姓名等进行屏蔽展示等4个具体指标 。
【新浪旗下“新浪分期”、“浪小花”账户密码安全性垫底】


    推荐阅读


    上一篇:新华网|“吃相”太难看!网络“吃播”乱象该整治了

    下一篇:凤姐|当初放话:宁可死在美国,也绝不回中国的凤姐,真的没有打脸