股民的同花顺关联账户被盗再次给所有金融类企业提出警醒,金融的核心是风控。
《中国科技投资》刘逸伦
4月10日,第三方交易软件同花顺(300033.sh)受股民被*号盗**消息影响,股价下跌6.14%,收盘价为116.24元。
当日,同花顺发布声明称:“留意到了网络的信息,与同花顺相关的内容完全与事实不符。部分投资者安全防范意识不够导致资金账户、密码泄露。”不过,被*号盗**的股民并不认可同花顺的上述声明,他们回应称:“这是甩锅行为”。
记者查看同花顺过往十年的财报及招股书发现,虽然同花顺每年研发支出占总营收比重约为20%-40%,但其支出领域几乎全是利润率高的产品研发,对于重要的安全系统建设,公司从未在研发费用支出说明中提及。
金管科技(北京)有限公司高级咨询顾问陈勇认为:“此次信息安全事件的发生,监管层、券商、第三方同花顺均有责任。每一件信息安全事故背后折射的是公司管理体制的疏忽以及技术层面的缺乏,对于同花顺来说,在企业‘活下来’的基础上改进信息安全,对其日后发展至关重要。
系统安全质疑
4月9日,多家媒体报道,来自不同省市、开户于不同券商的多位投资人的股票账户被盗,且全于4月2日11时卖出原持有的股票全仓买入济民制药。4月3日,济民制药一字跌停,多位投资人资金受损。
经国盛证券向投资者提供的数据显示,4月2日11时19分至11时20分,用户股票账户内股票分5笔几乎全仓卖出,其交易登陆地点为MIP:39.144.16.165,而后账户全仓买入济民制药,该笔交易登陆为MIP:223.104.254.40。上述6笔交易异常的买卖交易全部使用苹果手机同花顺公版交易软件进行下单。
据记者了解,目前受影响的投资者可知人数达15余人,他们均曾在第三方软件同花顺注册并关联券商资金账号进行股票交易。
对此,同花顺于4月10日回应称:“网传信息与事实不符。部分投资者安全防范意识不够导致资金账户、密码泄露。据了解,部分投资者因为在炒股微信群里被骗或者各种原因泄露了证券公司的交易账号和密码,导致盗买盗卖的发生。”
对于同花顺的回应,福建泉州陈女士认为“这是平台“甩锅”的发言,我也没加入什么群,也没什么泄露,就这么莫名其妙钱被变相盗走了。”陈女士表示将会和其他维权者一起,继续维权。”
针对此次账户盗用事件,业内人士认为有两个问题值得重点关注。一是此次被盗用的客户开户在不同的券商,第三方软件出问题的概率更大;二是,证券账户如此重要的账号,为何如此轻易能够在异地异常设备登陆。
国内某头部IT公司的技术人员对记者表示:“首先同花顺这种注册用户达亿级,日活跃用户也至千万级的第三方交易软件,若出现数据泄露或安全漏洞等问题的话,其*号盗**影响规模必然不会只波及几十人。”
“但同时,像异地登陆、非常用设备登陆、手机号码与资金账号绑定手机不同、IP地址与用户常用不同等异常交易信息风险提示,以及发现异常后进行再验证服务,目前的技术则完全可以做到,这是平台安全服务的缺失。”
据同花顺2019年年报显示,截止2019年12月31日,其金融服务网注册用户约4.96亿人,每日使用同花顺网上行情免费客户端的人数平均约为1301万人,每周活跃用户数约为1640万人。
《中国科技投资》记者就上述相关问题致函同花顺,对方未予置评。
重产品轻安全
同花顺官网显示,同花顺成立于2001年,是国内第一家互联网金融信息服务业上市公司,是业内唯一一家国家信息化试点工程单位,是国家规划布局内重点软件企业、高薪技术企业。技术创新作为公司的驱动力,公司长期坚持技术创新,实践“让投资变得简单”的理念。
同花顺在各种场合都标榜公司十分重视创新与技术研发,官网称“公司每年研发经费投入占公司总收入都在15%以上。”
然而这还是保守数字。查看同花顺自2009年上市至今的十余份年报,其研发投入、专利数量均逐年增加,但其所谓的技术研发多是围绕新产品及应用的研发。
截至2019年12月31日,同花顺所拥有的280项专利仅涉及3项安全系统及技术,114项非专利技术中仅有“互联网身份认证防伪技术”与安全相关。2009-2019年,同花顺研发总投入达22亿元,但在研发费用支出说明中对系统安全建设从未提及。
尽管产品研发投入高,但同花顺仍曾面临产品抄袭指控。2012年,万得咨询(Wind)因同花顺iFinD产品在信息数据、参数界面与操作方式等方面抄袭向法院提起诉讼,该案前后耗时5年,上海高级人民法院最终判定同花顺赔偿万得咨询335万元,这场著作权侵权案得以收场。
同花顺主要业务包括,为国内外的各类机构客户提供软件产品及系统维护服务、金融数据服务、智能推广服务,为个人投资者提供金融资讯以及各种投资理财分析工具。
据公司往年财报显示,其四大业务产品毛利率常年高达85%-94%,产品研发使得公司变现能力广受肯定。2019年公司收入17.42亿元,同比增长25.6%,净利润8.98亿元,同比增长41.9%。华泰证券于今年2月发布研报表示,在A股投资活跃度逐步提升的背景下,同花顺流量变现效率有望继续提升,维持“增持”评级。
技术升级
近日在券商经纪业务的交流群中,营销人员表示有客户解除了同花顺的授权。此次*号盗**事件,同花顺在个人投资者群体中的安全信誉受到影响。
然而,在这起*号盗**事件中,监管层、券商、第三方同花顺都负有责任。陈勇认为,在证券领域,监管层对于券商信息安全建设并未有明确要求,相关监管标准较银行、保险行业较低。这导致了券商对监管技术安全合规的压力不如银行、保险业,随之而来的是券商对于第三方合作机构也并未做更多信息安全合规要求。
自2015年至今,监管对于券商公司信息技术系统安全、稳定运行,以及信息技术系统外部介入的风险管理情况保持高度关注,但相关领域管理文件并未出台。
近两年,头部券商加大对IT投入,2019年信息技术投入居前的10家上市券商,年内投入金额均超过2亿元,占当期营业收入比重在2%以上,华泰证券2019年信息技术投入高达14.25亿元,位居第一,占营业收入比重达5.73%。
尽管如此,与银行业动辄百亿的科技投入以及完整的科技公司布局链条相比,券商的信息安全投入还不成气候。同时监管态度对于行业技术升级起到关键作用,“近期,受越来越多的信息安全事件影响,金融机构加大科技投入呈现出波峰状态,但受疫情和监管态度影响,金融机构加码科技是否能形成浪潮不好说。”陈勇称。
此次*号盗**事件加剧了机构和个人投资者对安全性的重视,有券商称建议投资者通过券商自己的APP下单交易股票,减少通过第三方平台操作风险。
对于第三方服务商同花顺来说,一方面是资本逐利天然属性,公司管理层天然倾向于能带来高收益的产品研发,信息安全建设被忽视;另一方面是,监管层被指在信息安全方面缺位,导致行业对此重视度较轻,外部倒逼机制并未形成压力使得公司迫切进行改变。
而同花顺能否借此机会审视公司信息安全方面的不足并在受疫情影响“活下去”的前提下,有效率地提高信息安全及数据安全技术能力,是外界目前普遍关注的焦点。