金融App谁家账户密码安全有隐患?新浪分期和浪小花测评垫底,下面是南方都市报给大家的分享,一起来看看。
跟卡卡贷一样的贷款
随着一批批移动金融App备案名单出炉,规范金融数据安全也成为2020年上半年金融科技监管工作的主旋律,尤其密码防护、个人信息安全等方面,是治理的聚焦点。为给金融App治理工作进一步提供参考,南都金融合规研究课题组,以去年11月央行下发的《移动金融客户端应用软件安全管理规范》为依据,从消费者角度,针对64个主流移动金融App,围绕身份认证、密码操作和个人金融信息展示等维度进行实测,形成“2020财经半年报”之移动金融App账户密码安全合规榜。结果显示,近七成所测App在登陆、交易页面存在密码安全隐患。
南都金融合规研究课题组参考《移动金融客户端应用软件安全管理规范》(以下简称“规范”),设定了包括身份认证安全、密码操作安全和个人金融信息展示安全在内的3个一级维度、29个分项指标。通过下载、注册、实操使用等环节,对64个常用的移动金融App进行了两周的专项测评,主要涉及互联网公司旗下互金App 22个、金融科技公司旗下互金App 19个、消费金融公司App 23个。
近两成被测移动金融App账户安全不及格
从整体排名情况来看,分数在80分以上的被测互金App与分数未达到60分的各占近两成。在“相对优秀生”中,60%以上都是持牌金融机构的消费金融公司旗下App;而在“相对后进生”中,近60%都是互联网公司旗下的App。
百度系的两款App“有钱花”和“度小满金融”拔得头筹,“支付宝”位列第6。值得注意的是,处于及格线以下的App中,也有的来自互联网巨头公司和头部金融科技企业,如新浪系的3个被测App“新浪金融”、“新浪分期”和“浪小花”都在垫底行列中,360金融旗下的“360信用生活”、小米金融旗下的“小米贷款”、金山集团旗下的“金山金融”和众安科技旗下的“众安小贷”成绩也不理想。
七成被测App可截屏密码
具体来看,比较严重的安全隐患集中在用户进行身份认证时的信息外泄问题。根据《规范》要求,客户端应用软件应事先身份认证过程的防截屏、录屏。但实测发现,近七成被测移动金融App在用户输入登录密码、登录验证码、交易密码,修改登录密码、交易密码时均无防截屏、录屏的功能。
南都金融合规研究课题组测评发现,在实名认证时,要求用户上传身份证图片,但未做敏感信息收集用途的承诺,存在身份证图片外泄风险。近半数所测App要求用户上传身份证正反面图片,但却无“仅用于身份验证”的水印,页面亦无任何安全性提示或承诺;另有两成被测App虽然未打水印,但在上传页面作出“仅为平台审核用”等安全性承诺;只有“支付宝”、“有钱花”、“度小满金融”、“维信卡卡贷”、“你我贷借款”、“还呗”和“小花钱包”7个App在用户上传的身份证正反面图片上打水印提示“仅为平台审核用”。
顺丰金融App等可展示用户信息
此外,《规范》要求,除交易对账、转账收款方确认等必须由用户确认的情况外,客户端应用软件在显示个人信息时,屏蔽关键字段。从测评记录来看,被测试App在对个人金融信息进行屏蔽展示方面做得都还不错,但有个别App对用户姓名进行了全部展示,例如“金山金融”、“顺丰金融”、“分期乐”、“拍拍贷借款”、“维信卡卡贷”;而“马上金融”、“小米贷款”未做屏蔽展示了用户的手机号码;“翼支付”未做屏蔽展示了用户的身份证住址。
苏宁消费金融等支付密码可设为123456
除了身份认证信息的外泄,更需要关注的是密码操作安全,这里的“密码操作安全”,包括登录App、在App内进行交易的认证要素安全和口令安全。
《规范》要求,在用户身份认证后,客户端应用软件进入终端系统后台时,如果超过设定时限后被唤醒切换到前台,应采取措施对用户身份重新认证。南都金融合规研究课题组测评发现,本次测评中,近半数被测移动金融App进入后台运行后再次唤醒时,处于默认登录状态,无需进行再次验证,其中包括“京东金融”、“苏宁金融”等。不过,南都记者发现,上述App可以在其“安全设置”板块内进行个性化设置,完成设置后,即可添加指纹、手势、刷脸等验证方式,但需要用户自主手动添加,而其他未检测出默认登录的App则主动引导用户进行重新认证。
南都金融合规研究课题组还发现,有部分App登录时的身份认证要素和方式太过单一。测试记录显示,有四分之一的被测App引导用户使用“本机号码一键登录”功能,虽然看起来比较方便,但这意味着任何一个拿到这台手机的人都可以在一款移动金融类App上来去自如。值得一提的是,消费金融公司旗下的所有App,都不允许使用“本机号码一键登录”功能。《规范》要求,移动金融App须采用两种或两种以上的要素对用户身份进行认证,而“众安小贷”只能提供“本机号码一键登录”这一种登陆验证方式,无法自主设置登录密码。
更为突出的问题在于,有超10%的被测App缺乏密码复杂度校验功能,密码安全存在隐患。《规范》规定,App应有采取有效措施提醒用户避免设置与常用软件、网站相同或相似的用户名和密码组合,并采取有效措施引导客户设置独立的支付密码。但测评中发现,如“新浪分期”、“永辉金融”、“小赢分期”、“中银消费金融”、“消邦”、“苏宁消费金融”等App,允许用户将“123456”、“111111”这类连续数字串作为登录密码或支付密码;“携程金融”的登录密码和支付密码一致,并未独立设置支付密码;还有“滴滴金融”、“金山金融”等23个App并未限制修改的登录密码不能与原密码相同。
【测评标准说明】
本次测评,设定了身份认证安全、密码操作安全和个人金融信息展示安全的3个一级维度。满分100分,计分权重分别占比50%、40%和10%。
在“身份认证安全”维度中,涉及用户登录App时,是否采用适宜的验证要素、用户进行身份认证时是否有防截屏录屏功能等14个具体指标。其中,南都金融合规研究课题组重点考查了App在要求用户上传身份证信息时,具体如何处理身份证图片这类隐私信息。
在“密码操作安全”维度中,涉及用户输入密码时是否有防护、修改登录密码、支付密码时,对用户的验证措施如何等11个具体指标。
在“个人金融信息展示安全”维度中,主要测评了App在未登录、已登录、认证失败状态时,如何展示用户个人信息,是否有对银行账号、身份证号码、手机号码、姓名等进行屏蔽展示等4个具体指标。
出品:南都财经新闻部
测评&数据采集分析:南都记者熊润淼实习生温依雯陈琪琦
制图:杨晨悦
卡卡贷好通过吗
近日,发展势头迅猛的信用卡余额代偿产品“卡卡贷”再传捷报,截至当前,卡卡贷累计用户量突破1200万,累计放款金额超过100亿,再掀消费信贷行业波澜。
作为消费信贷行业口碑颇佳的信用卡余额代偿产品,卡卡贷致力于为广大持卡人打造值得信赖的一站式信用卡余额代还平台,在为千万用户提供专业优质普惠金融服务时,恰逢第六届中国财经峰会召开之际,卡卡贷荣膺最佳金融科技品牌大奖,在获得市场与监管充分肯定的同时,俨然成为今年消费信贷行业的大赢家。
事实上,卡卡贷之所以能够在短时间内累计放款金额迅速突破百亿大关,除了得益于健康的市场环境外,更主要的是看准时机,切入发展前景长红的领域。“讲互联网 金融也好,讲消费信贷也好,其实是有很多细分的垂直领域。卡卡贷于2015年5月份上线,我们非常看好代还信用卡这个细分领域,目前卡卡贷在这个领域论规模是排第一的。这是大的市场环境好,以及自身努力的结果。”卡卡贷总经理李海峰在接受中国财经峰会时对记者说道。
据中国互联网 金融协会统计,目前国内主流的信用卡余额代偿服务平台多达到数十家,并且不断衍生新的平台。业内人士认为,消费金融正迎来黄金时代,从国家政策到市场需求再到技术创新,都为消费金融的爆发提供了基础。在利好环境的孵化下,卡卡贷凭借两年的时间,领跑消费金融市场,其看家本领便是金融与科技的完美融合。据了解,卡卡贷依托自身在消费金融服务领域累积的丰富经验,结合国际消费信贷行业的领先技术,将大数据应用到普惠金融业务当中。不同于多数信贷平台的技术,卡卡贷在设计之初就秉承打造全智能、纯线上的移动互联网贷款产品,强调贷款审批的自动化、智能化,业务平台的移动化,功能流程的体验性、严谨性、安全性以及系统平台的扩展性。真正实现通过手机移动端,在线完成从申请、授信到放款的全流程线上化、自助化,自动完成整个授信和借贷过程;做到7天24小时不间断服务,全程自动化无人工干预。
消费信贷正以平均每年20%以上的速度递增。按照最保守的假设,至2020年,我国消费信贷总规模有望达到30万亿。未来,卡卡贷将继续为领跑消费金融服务市场而贡献社会责任。
免责声明:此文内容为本网站转载自其他媒体企业宣传资讯,仅代表作者个人观点,与本网无关。仅供读者参考,并请自行核实相关内容。您若对稿件处理有任何疑问或质疑,请即与我们联系,本网将迅速给您回应并做处理。邮箱:contactus@stockstar.com 处理时间:9:00—17:00。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信,我们会及时处理和回复。
原文地址"跟卡卡贷一样的贷款(卡卡贷好通过吗)":http://www.ljycsb.cn/dkzs/144029.html。
微信扫描二维码投放广告
▲长按图片识别二维码
