股票被偷了。
1
这两天,股市反弹不错,国内A股,蹦出个大新闻。
有股民反映证券账户被盗,卖出持仓股票,买入次日一字跌停的济民制药。这些股民开户券商不同,但都使用同花顺软件。认为同花顺向黑庄泄露了密码。
对此,同花顺称“网络传言与事实不符”,呼吁用户加强账户安全防范意识,并建议报警处理。
图片来源:证券时报
老南曾券商工作过10年,其中信息技术岗位2年,从个人经验角度,带领大家分析下这个瓜。
当然,最终结论,还是以警方调查结果为准。
2
老南2004年到2006年初,差不多17年前,在券商营业部的信息技术岗,有后台数据库权限。那时候,还整天折腾通讯卫星、数据库、交换机、服务器。
很多人以为,如自己的密码,是“123456”,那在券商的数据库中,也是“123456”这样的明文,其实并不是。
因为监管部门,为了防止监守自盗,早就有券商信息系统安全规定,要求券商数据库中,客户的密码,不得明文。
所以,实际上,你的密码,在数据库中,是一堆乱码,类似“¥%L&C*2(¥”。
别说黑客,即使我们工作人员,能合法进入数据库的,都不知道你密码是什么。
而且,同花顺只是和券商交易系统之间,有个接口,类似一个通道,密码验证都在券商的服务器上,同花顺本身并不储存密码。
所以,同花顺会不会泄露客户手机号,老南不敢打包票。但泄露客户密码,无论是主动还是被动,从技术上看,真做不到。
3
可是,股民的账户,的确被侵入了了,股票也的确被卖掉了。那究竟如何实现的?
老南分析两种可能:1、被黑客撞库(大概率),2、股民故意泄露(小概率)
撞库,是信息安全行业的术语。
很多人习惯用同一密码,在n个地方使用。只要一个地方的密码泄露,就会有专业黑产团队,搜集这些数据,清洗、拼凑,去尝试登陆其他平台,这就叫撞库。
而同花顺,正好是国内市占率最高的股票行情软件,并支持登陆n家券商交易系统,当然是最方便的撞库工具。
因为这次事件,涉及的账户并不多,所以很可能是庄家要出货,然后买了批信息,自行操作。
所以,避免被撞库的最好方法,就是每个平台,设置不一样的密码。如搜狐的,sohu123456,新浪的,sina123456。
当然,这里的确也有个问题,对于客户,以非常用设备、非常用地区,登录交易系统,是否应该有短信验证码之类的二次验证?
4
至于故意泄露,嗯,你没看错,先从一个“产品”说起。
这是前阵子,老南看到,北京某财富公司,推广的所谓“产品”:
简单的说,就是股民出借自己的账户,并打入100万以上的资金,给别人操作。财富公司承诺保本,并给10%的收益,超过部分再4:6分。
这种,在老南看来,不就是找人傻钱多的接盘侠嘛。
出借账户本身,就是违反《证券法》的,也是监管长期严厉打击的。而且,真接了个庄家要出货的票,亏钱了,找谁去?
有人说,那还可以,让对方在自己账户打保证金啊,亏也亏他的钱。
来,第二个案例:
老南一朋友,某券商营业部老总,最近发给老南的,他客户的巨亏的案例(朋友也是性情中人,实在看不下去这种明摆着的低端骗局):
客户出借自己账户,给某知名配资公司,配资公司出25%作为保证金,客户出75%。约定亏20%平仓,并给客户,一年12%的收益。
很安全吧?就开开心心几千万投进去。
这么大一块肥肉,谁会客气?直接送给要出货的庄家,保证金亏没了,本金还亏了一大半。都是之前策划好的。
想闹?不怕,有白纸黑字的协议在,报案都没法报,只能打断牙齿咽到肚子里。
这种,签合同的那一刻,就注定了被骗的命运,就是找你接盘去的。其他的都是钩子而已。
聊天记录里的这句话,请大家再读几遍:
主力为了出货,无所不用其极,多条腿走路,想尽办法出货,不择手段。
来,欣赏下这个1年多,拉了6倍的庄股,开头提到的济民制药:
话说回来,之后庄家怎么出货,值得围观。
结
这次济民制药这事,闹大了,其实也是好事,监管部门、公安部门齐下手,相信挖出真相,不会太遥远,毕竟大数据时代,盗窃账户干这事,真是非常愚蠢的行为。
但你也要谨慎,保护好自己的密码,保护好自己的账户,远离看上去无懈可击的赚钱机会。
记住,主力为了出货,无所不用其极。
-END-
閱讀更多 石榴詢財 的文章
