日前，浙江一家互联网金融平台——铜掌柜被曝出存在系统安全问题，导致平台60万用户大量敏感信息泄露。铜掌柜首席信息官金少策回应称漏洞已修复。

　　然而，铜掌柜存在的问题远不止这些，媒体报道称，该平台标的信息披露过少，资金托管机构未明确，运用资金池管理模式风险高。

　　铜掌柜60万用户信息遭泄露

　　据《中国经营报》报道，根据补天漏洞响应平台披露的信息显示，铜掌柜漏洞打包泄漏60万用户的姓名、手机、银行卡和密码。该漏洞提交于12月1日，被定性为事件型漏洞，官方评级高危。据悉，事件漏洞（即非通用型漏洞），主要是指互联网上应用的一个具体漏洞，例如，某网站命令执行可被渗透、某电商订单泄露任意充值、某网站应用SQL注入可导致信息泄露等等。

　　12月14日，国家互联网应急中心也对该漏洞进行了回复：“CNVD确认所述情况，已由CNVD通过网站管理方公开联系渠道向其邮件通报，由其后续提供解决方案。”

　　尽管官网上宣称其平台有多重认证和加密，然而铜掌柜仍被爆出系统存在漏洞，导致用户信息遭到泄露。在铜掌柜官网的“安全保障”一栏中，其宣传表示：“不仅为用户提供金融信息服务，也保障用户的信息与资金安全。铜掌柜采用128位安全加密技术与安全认证体系，保障数据与资金安全，并严格遵守所有关于可辨识个人信息保存的法规要求，确保投资人提供的所有信息都能得到机密保护。”

　　资深业内人士梅州评认为，作为信息技术平台，技术安全是最基本的要求，平台和投资者都不应该忽视。

　　行业安全建设待加强 公司回应称漏洞已修复

　　据《每日经济新闻》报道，铜掌柜首席信息官金少策12月20日在接受其记者采访时表示，经与技术部门核实，该漏洞于12月1日由“白帽子”发现并提交到某漏洞响应平台，并在12月9日进行了修复，期间并未出现任何用户信息被泄露。

　　“此前，我们已经完成了修复，但忽略了在响应平台上的确认。近日，我们已正式向该漏洞响应平台确认回复”，金少策表示，“目前铜掌柜数据安全与阿里云合作，平台数据安全由阿里云提供保障。”

　　网络安全专家、北京白帽汇科技有限公司CEO赵武表示，目前国内网站存在安全漏洞是普遍现象，很多领域都存在，希望相关政府部门和公司能够引起足够重视。

　　赵武表示，随着国家“互联网+”战略的提出，很多互联网金融公司雨后春笋般涌现。这些公司在发展过程中，除了关注用户规模、成交量规模的发展外，也应加强信息安全建设。比如，成立信息安全部门、积极和行业内的安全信息公司建立联系、对于行业内发生的数据泄露事件，积极采取补救措施等手段，从多方面去筑起一道信息安全的“篱笆”。

　　铜掌柜资金托管机构不明 信息披露严重不足

　　资料显示，铜掌柜平台运营主体为杭州铜米互联网金融服务有限公司，是浙江首批获得“互联网金融服务”资质的公司之一，目前已获上市公司中来股份（300393）战略入股。公司成立于2014年7月，注册资本3000万元，法人代表张焱。

　　据《投资快报》报道，铜掌柜其他问题不少，包括：资金托管机构不明，运用资金池管理模式，信息披露严重不足。

　　经查阅铜掌柜官网，记者发现平台对于资金托管机构并未明确披露。在其官网中的“掌柜吧”上，有投资者发帖询问“铜掌柜是什么银行资金托管”，一位客服回复称，“目前银行托管政策没有出来，所以没有托管银行，资产由四大行之一的银行监管(因为同银行有君子协议，故不对外公示)。”　　

　　铜掌柜客服表示，“我们这边是银行进行监管的，银行监管就是我们的资金进出都是通过第三方的，然后资金也是在银行进行监管，而且我们的账户资金安全由中国人保承包。” 有市场分析人士认为，不管是银行托管还是第三方支付托管，作为平台方都应公开这方面的具体信息，不应以其他理由拒绝公开。

　　此外，一位不愿具名的业内人士表示，某些平台以此大肆宣传，只是对投资者玩了一个文字游戏。托管和存管(监管)差别是很大的，哪怕是第三方支付的托管也比一般意义的存管安全性要高一点，铜掌柜目前采用的认证支付和网关支付模式，实际上就是资金池管理模式，风险很高。

　　信息披露严重不足方面，《投资快报》记者查阅多个“铜政宝”借款标的后发现，项目信息中所披露的信息较少。以《借款合同》为例，除了借款金额有披露外，包括合同编号、公章在内的一切信息全部被打上马赛克。