随着一批移动金融App备案名单的发布,规范金融数据安全也成为2020年上半年金融科技监管的主旋律,尤其在密码保护和个人信息安全方面,是治理的重点。为金融APP治理提供进一步参考,杜南金融合规课题组以去年11月央行发布的《移动金融客户端应用软件安全管理规范》为基础,从消费者角度出发,围绕身份认证、密码操作、个人财务信息展示等维度,对64款主流移动金融App进行了测评,形成了《2020金融半年报》移动金融App账户密码安全合规榜单。结果显示,近七成被测app在登录和交易页面存在密码安全风险。
杜南金融合规课题组参考《移动金融客户端应用软件安全管理规范》(以下简称《规范》),设定了身份认证安全、密码操作安全、个人财务信息显示安全等3个一级维度、29个分项指标。通过下载、注册、实际使用等环节,对64款常用移动金融App进行了为期两周的评测,主要涉及互联网公司旗下22款互金App、金融科技公司旗下19款互金App、消费金融公司旗下23款App。
近20%的被测移动金融App账户安全性不合格。
从整体排名来看,在测试的互金app中,80分以上和60分以下的分别占近两成。“相对优秀生”中,六成以上是App持牌金融机构的消费金融公司;“相对后进生”中,近六成是互联网公司旗下的app。
百度的两个app,有钱花和度小满金融拔得头筹,支付宝排名第六。值得注意的是,部分及格线以下的app来自互联网巨头和头部金融科技公司。比如新浪系的三款测试app新浪财经、新浪分期、郎小华,排名垫底,360金融旗下的360信用生活、小米金融旗下的小米贷款、金山集团旗下的金山金融以及旗下的众安科技。
测试的App70%可以截图密码
具体来说,更严重的安全风险集中在用户认证时的信息泄露。根据《规范》的要求,客户端应用软件应提前截屏并记录身份认证过程。但实测显示,近70%的被测移动金融app在用户输入登录密码、登录验证码和交易密码,修改登录密码和交易密码时,没有截屏或录屏功能。
杜南金融合规课题组评估发现,实名认证时,要求用户上传身份证,但未做出收集敏感信息的承诺,存在身份证泄露风险。近一半被测app要求用户上传身份证正反面照片,但没有“仅供认证”水印,页面也没有安全提示或承诺;另有20%的被测app未加水印,但在上传页面做出了“仅供平台审核”等安全承诺;只有支付宝、有付华、度小满金融、微信卡贷、有我贷、环百、小花钱包这7个app对用户上传的身份证正反面图像进行了水印处理,表示仅供平台审核。
顺丰金融App可以显示用户信息。
此外,《规范》要求客户端应用软件在显示个人信息时应屏蔽关键字段,但交易对账、转账收款人确认等除外。必须由用户确认。从评测记录来看,测试的app在个人财务信息的屏蔽和显示方面做得不错,但部分app显示的是用户的全部姓名,如金山金融、顺丰金融、分期乐、拍拍贷、微信卡信贷等。“即刻金融”、“小米贷款”显示用户手机号,不屏蔽;“翼支付”显示的是用户的ID地址,没有屏蔽。
苏宁消费金融等支付密码可设置为123456。
杜南金融合规课题组还发现,部分app登录时的身份认证要素和方式过于单一。测试记录显示,四分之一的测试app引导用户使用“本地电话号码一键登录”功能。虽然看起来很方便,但这意味着任何拿到这款手机的人,都可以在一个移动金融app上来去自如。值得一提的是,消费金融公司旗下的所有app都不允许使用“本地号一键登录”功能。003010要求移动金融App必须采用两个或两个以上要素对用户身份进行认证,而“众安小贷”只能提供“本地号一键登录”的登录验证方式,不能独立设置登录密码。
更突出的问题是,超10%的被测app缺乏密码复杂度检查功能,密码安全存在隐患。003010规定,App应采取有效措施提醒用户避免设置与常用软件、网站相同或相似的用户名和密码组合,并采取有效措施引导客户设置独立的支付密码。但在测评中发现,新浪分期、永辉金融、小赢分期、中银消费金融、肖邦、苏宁消费金融等app允许用户使用“123456”、“11111”等连续数字串作为登录密码或支付密码;“携程金融”登录密码与支付密码一致,未独立设置支付密码;还有“滴滴金融”、“金山金融”等23款app没有限制修改后的登录密码与原密码相同。
[评估标准的描述]
本次测评设置了身份认证安全、密码操作安全、个人财务信息展示安全三个一级维度。满分100分,评分权重分别占50%、40%、10%。
在“认证安全”维度,涉及14项具体指标,如用户登录app时是否使用合适的认证要素,用户认证时是否具有防截屏功能等。其中,杜南金融合规课题组重点研究了App要求用户上传身份证信息时,如何处理身份证图片等隐私信息。
在“密码操作安全”维度,涉及用户输入密码时是否有保护、修改登录密码、支付密码时如何验证用户等11项具体指标。
在“个人财务信息显示安全”维度,主要评估App在未注册、已登录、
认证失败状态时,如何展示用户个人信息,是否有对银行账号、身份证号码、手机号码、姓名等进行屏蔽展示等4个具体指标。出品:南都财经新闻部
相关问答:小花钱包贷款靠谱吗?
小花钱包靠谱。
2019年不少中介都在热炒这个平台,虽然不是100%下款,但是最近通过率比较高。因为小花钱包风控比较严格,对个人资质有点要求,所以会出现转账失败、额度冻结的情况,大家申请之前,最好了解一下自己是否符合条件。
二、小花钱包上征信
从目前来看,小花钱包确实会上征信,官网上明确写明了“逾期行为将记录在人民银行征信中心、上海资信有限公司、平安前海征信等征信机构的个人征信系统中,影响您办理各类金融业务并会被追究相应的法律责任。”
三、小花钱包转账时间
咨询了客服,对方表示一般在1~3天给出结果,有时候遇到申请高峰,有可能会推迟,建议大家直接咨询客服。
四、小花钱包是正规的
晓花(上海)互联网科技有限公司,2015年由中腾信金融信息服务(上海)有限公司出资设立,核心成员有很多是各行各业的从业人员,不同于一般的高炮平台,小花钱包比较正规靠谱。
五、小花钱包申请条件
最高申请额度是5万元,最长可分25期,现只对20-45周岁的上班族开放,大专以上的学历优先,提供身份证、人脸识别、运营商、个人基本信息、联系人、工作信息、收款卡、信用卡等即可。