金融合规分析之 互金
特殊的2020年行进过半,我国经济正逐渐展现复苏、韧性、活力的姿态,“六稳六保”工作落地有声。为进一步助力“识变应变”“补短强弱”,南方都市报今起推出“财经半年报”数据智库产品,着眼金融机构合规分析、资本市场风险观察、广东上市公司质量研报等方面展开系列报道。从智媒角度,为机构及企业的行稳致远,提供参考。本期为金融机构合规分析之互金篇。
随着一批批移动金融App备案名单出炉,规范金融数据安全也成为2020年上半年金融科技监管工作的主旋律,尤其密码防护、个人信息安全等方面,是治理的聚焦点。为给金融App治理工作进一步提供参考,南都金融合规研究课题组,以去年11月央行下发的《移动金融客户端应用软件安全管理规范》为依据,从消费者角度,针对64个主流移动金融App,围绕身份认证、密码操作和个人金融信息展示等维度进行实测,形成“2020财经半年报”之移动金融App账户密码安全合规榜。结果显示,近七成所测App在登录、交易页面存在密码安全隐患。
南都金融合规研究课题组参考《移动金融客户端应用软件安全管理规范》(以下简称“规范”),设定了包括身份认证安全、密码操作安全和个人金融信息展示安全在内的3个一级维度、29个分项指标。通过下载、注册、实操使用等环节,对64个常用的移动金融App进行了两周的专项测评,主要涉及互联网公司旗下互金App 22个、金融科技公司旗下互金App 19个、消费金融公司App 23个。
近两成被测移动金融App账户安全不及格
从整体排名情况来看,分数在80分以上的被测互金App与分数未达到60分的各占近两成。在“相对优秀生”中,60%以上都是持牌金融机构的消费金融公司旗下App;而在“相对后进生”中,近60%都是互联网公司旗下的App。
百度系的两款App“有钱花”和“度小满金融”拔得头筹,“支付宝”位列第6。值得注意的是,处于及格线以下的App中,也有的来自互联网巨头公司和头部金融科技企业,如新浪系的3个被测App“新浪金融”、“新浪分期”和“浪小花”都在垫底行列中,360金融旗下的“360信用生活”、小米金融旗下的“小米贷款”、金山集团旗下的“金山金融”和众安科技旗下的“众安小贷”成绩也不理想。
七成被测App可截屏密码
具体来看,比较严重的安全隐患集中在用户进行身份认证时的信息外泄问题。根据《规范》要求,客户端应用软件应设置身份认证过程的防截屏、录屏。但实测发现,近七成被测移动金融App在用户输入登录密码、登录验证码、交易密码,修改登录密码、交易密码时均无防截屏、录屏的功能。
南都金融合规研究课题组测评发现,在实名认证时,要求用户上传身份证图片,但未做敏感信息收集用途的承诺,存在身份证图片外泄风险。近半数所测App要求用户上传身份证正反面图片,但却无“仅用于身份验证”的水印,页面亦无任何安全性提示或承诺;另有两成被测App虽然未打水印,但在上传页面作出“仅为平台审核用”等安全性承诺;只有“支付宝”、“有钱花”、“度小满金融”、“维信卡卡贷”、“你我贷借款”、“还呗”和“小花钱包”7个App在用户上传的身份证正反面图片上打水印提示“仅为平台审核用”。
顺丰金融App等可展示用户信息
此外,《规范》要求,除交易对账、转账收款方确认等必须由用户确认的情况外,客户端应用软件在显示个人信息时,屏蔽关键字段。从测评记录来看,被测试App在对个人金融信息进行屏蔽展示方面做得都还不错,但有个别App对用户姓名进行了全部展示,例如“金山金融”、“顺丰金融”、“分期乐”、“拍拍贷借款”、“维信卡卡贷”;而“马上金融”、“小米贷款”未做屏蔽展示了用户的手机号码;“翼支付”未做屏蔽展示了用户的身份证住址。
苏宁消费金融等支付密码可设为123456
除了身份认证信息的外泄,更需要关注的是密码操作安全,这里的“密码操作安全”,包括登录App、在App内进行交易的认证要素安全和口令安全。
《规范》要求,在用户身份认证后,客户端应用软件进入终端系统后台时,如果超过设定时限后被唤醒切换到前台,应采取措施对用户身份重新认证。南都金融合规研究课题组测评发现,本次测评中,近半数被测移动金融App进入后台运行后再次唤醒时,处于默认登录状态,无需进行再次验证,其中包括“京东金融”、“苏宁金融”等。不过,南都记者发现,上述App可以在其“安全设置”板块内进行个性化设置,完成设置后,即可添加指纹、手势、刷脸等验证方式,但需要用户自主手动添加,而其他未检测出默认登录的App则主动引导用户进行重新认证。
南都金融合规研究课题组还发现,有部分App登录时的身份认证要素和方式太过单一。测试记录显示,有四分之一的被测App引导用户使用“本机号码一键登录”功能,虽然看起来比较方便,但这意味着任何一个拿到这台手机的人都可以在一款移动金融类App上来去自如。值得一提的是,消费金融公司旗下的所有App,都不允许使用“本机号码一键登录”功能。《规范》要求,移动金融App须采用两种或两种以上的要素对用户身份进行认证,而“众安小贷”只能提供“本机号码一键登录”这一种登录验证方式,无法自主设置登录密码。
更为突出的问题在于,有超10%的被测App缺乏密码复杂度校验功能,密码安全存在隐患。《规范》规定,App应采取有效措施提醒用户避免设置与常用软件、网站相同或相似的用户名和密码组合,并采取有效措施引导客户设置独立的支付密码。但测评中发现,如“新浪分期”、“永辉金融”、“小赢分期”、“中银消费金融”、“消邦”、“苏宁消费金融”等App,允许用户将“123456”、“111111”这类连续数字串作为登录密码或支付密码;“携程金融”的登录密码和支付密码一致,并未独立设置支付密码;还有“滴滴金融”、“金山金融”等23个App并未限制修改的登录密码不能与原密码相同。
测评标准说明
本次测评,设定了身份认证安全、密码操作安全和个人金融信息展示安全的3个一级维度。满分100分,计分权重分别占比50%、40%和10%。
在“身份认证安全”维度中,涉及用户登录App时,是否采用适宜的验证要素、用户进行身份认证时是否有防截屏录屏功能等14个具体指标。其中,南都金融合规研究课题组重点考查了App在要求用户上传身份证信息时,具体如何处理身份证图片这类隐私信息。
在“密码操作安全”维度中,涉及用户输入密码时是否有防护、修改登录密码、支付密码,对用户的验证措施如何等11个具体指标。
在“个人金融信息展示安全”维度中,主要测评了App在未登录、已登录、认证失败状态时,如何展示用户个人信息,是否有对银行账号、身份证号码、手机号码、姓名等进行屏蔽展示等4个具体指标。
出品:南都财经新闻部 测评&数据采集分析:南都记者 熊润淼 实习生 温依雯 陈琪琦