如何看待挖財錢管家的安全性?

最近看到挖財推出了挖財錢管家產品,比起單純記賬而言確實更適合懶人所用,從數據角度也更精準。可是看見綁定淘寶和銀行賬號密碼就退了一步,保險這些都是虛的,難道沒有其他更好的數據互通與用戶安全隱私方面的解決方法?


過去用過一些記賬軟體,但是挖財確實把我嚇到了。要求提供淘寶賬戶密碼、銀行卡的賬號和密碼。我想無論從哪個方面,我都不會這麼相信這個軟體,提供這些信息。用網銀超過15年了,自認也是網路金融的老手了,但是對挖財這樣的軟體,我是沒有信心的。


謝邀,之前剛剛寫過信用卡App的問題,可以看一下:

警惕那些索要郵箱密碼的信用卡App - 理財牛 - 知乎專欄

沒想到很快這些從郵箱密碼、信用卡賬單數據中嘗到甜頭的企業又來推新的跟用戶要各種金融數據的產品了。查了下百度手機應用下載次數39萬,影響應該已經有不少了。

先來看看官方宣傳中此App有什麼服務:

  1. 關聯支付寶和各家網銀,確切知道錢花哪兒了。

  2. 隨時隨地,知道自己有多少錢。

  3. 智能分析,預測年底有多少錢。

  4. 簡單預算,買車買房不是空想。

  5. 完全免費的私人銀行。

  6. 安全可靠的銀行級多重加密確保信息安全。

  7. 中國平安承保個人賬戶安全。

這些服務實際是什麼?

服務1 展示你的支付寶和網銀消費記錄;

服務2 展示你的支付寶和銀行賬戶的現金;

服務3 通過爬你工資流水和歷史消費數據預測你年底能節餘多少錢;

服務4 預算

服務5 狗屁服務

服務6 狗屁服務

服務7 狗屁服務

服務1-2,你不會自己去支付寶和網銀查嗎?支付寶、銀行那麼大的企業辛辛苦苦做各種安全控制項都還經常出安全問題,你還要跑一個小企業的App里輸明文密碼給他?你確定有那麼多網銀管不過來需要整合查詢?

服務3,你覺得靠譜嗎?你過去的消費數據能代表你未來的消費數據?不靠譜的預測你給他工資流水和歷史消費數據幹嘛?

服務4,你不會用excel做預算啊?excel不會不能用記事本啊?

服務5-7就不說了,把這種宣傳伎倆當服務,太把用戶不當回事了吧?

再看看應用市場上的宣傳截圖:

我再截了兩張App裡邊添加數據的圖:

很明顯,這就是一個通過讓你輸入你的淘寶帳號/密碼、銀行卡帳號密碼,然後整合你的數據給你一些沒意義服務。

你交出了那麼多金融數據,你得到什麼?

就為了得到能在手機上點一下App就能快速查詢你各處網銀和淘寶消費記錄、現金?

這個服務值得你把你的淘寶帳號/密碼、網銀帳號/密碼、月工資收入、歷史消費記錄都交給一個連上市公司都不是的公司?你考慮過網銀密碼交出去後銀行在網銀上提供的一切你的金融數據對這個公司都是透明了的嗎?

你的金融數據是最寶貴的數據,銀行要?他得給你發信用卡給你各種理財產品。淘寶要?他得給你一個生態系統給你消費。怎麼一個銀行賬戶數據整合的功能就把你所有銀行賬戶數據全交出去了?

再來看看他們的同意解析數據里的授權協議:

自己琢磨這份用戶協議吧。

最後:

根本就不用考慮什麼題意中的安全性。這種整合消費者各處銀行賬戶數據、淘寶賬戶數據展示的功能不會有正常人會在一個商業公司的軟體里使用,如果真的有用戶那麼懶那麼信任一個商業公司而交出那麼珍貴的數據,活該他以後賬戶被盜投資虧損天天被打促銷電話,完全沒有任何風險意識,沒什麼可值得同情的。

修改了下措辭,有朋友覺得太激烈了。


http://mint.com

應該是模仿這個軟體。

美國產的賬目管理軟體,同樣是要求你提供銀行卡的賬號和密碼。

方便的地方不用說,就是自己記賬還要寫明細實在是麻煩,他幫你代勞了。

其他的就是扯。

關於安全性,看看紐約時報做的以下調查。

http://bucks.blogs.nytimes.com/2010/07/06/should-you-trust-mint-com/?_r=0

信息的安全性上,http://mint.com 通過帳號卡號分離、獨立伺服器、高級加密、白客防護、需要認證才能進入的機房,盡量保證你的信息不被外部黑客獲取。

而關於信用卡信息的不當使用,比如盜刷等等,美國人似乎從沒這方面的擔心,反正盜刷了我向銀行舉報一下就沒損失,這裡的創始人還會鋃鐺入獄。

最關鍵的是你的消費信息的泄漏。

這一點按照法律專家的觀點是無法避免。

你的消費數據就會被軟體提供者無償使用甚至出售給商業公司,而其中的合法性就在你點「我接受」的服務條款里。

於是我刪掉了這個軟體。


既然你們都說數據加密,哈希演算法,那麼你們數據的來源你們不臉紅嗎?任何一家大公司都不會開放這種核心數據給其他公司,只能說阿里無線真的是呵呵噠

我只想噴一下阿里和那些所謂通過淘寶賬號記賬的app。

某次我想研究一下這些app是如何做到獲取用戶數據,因為顯然不是授權登陸,那麼我開始想反編譯。但是發現確實和上面的說的是經過加密的,過去不到任何內容。

but我用最笨的辦法長按驗證碼。。。發現里裡面的鏈接。。這個鏈接的作用是『使用淘寶賬號登陸支付寶』那麼這個鏈接登陸後去哪呢?直接跳轉到支付寶PC端個人首頁,而且你可以通過該鏈接的goto欄位定義任何支付寶域名下的跳轉鏈接。。

我為何要噴這些x管家?因為你們誤導用戶好像是淘寶授權給你們的數據,你們把落地頁屏蔽,用戶根本不知道整個支付寶的內容都在你們眼前。那麼最後只能相信你們的人品了。。

我為何要噴阿里?這個被利用的漏洞完全是阿里產品考慮不周,該鏈接最後居然直接跳轉到PC端支付寶首頁,全程無任何安全驗證,我向支付寶前端反應了問題,最後2個月了依然沒有人理會,這個漏洞已經被利用數年之久,居然無人管,我還怎麼敢相信支付寶安全?!!

https://login.taobao.com/member/login.jhtml?style=alipaygoto=https%3A%2F%2Flab.alipay.com%3A443%2Fuser%2Fnavigate.htm%3Fsign_from%3D3000#

鏈接如下,有興趣長按錢管家二維碼獲得該鏈接


國內銀行禁止用戶將銀行卡密碼泄露給第三方,如果用戶有這樣的行為,不光發生風險時銀行可以免責,而且銀行可以違反用戶協議為由停止服務,以建行龍卡為例

中國建設銀行龍卡信用卡章程

第六章 持卡人的權利和義務

第四十八條 持卡人應妥善保管龍卡信用卡及其卡片信息、密碼、交易憑證等,不應將卡片、密碼等相關信 息泄漏給他人,因保管或使用不當而導致的損失由持卡人本人承擔。


挖財這個模式本身就有問題,都不用考慮他本身的安全性以及他採用了什麼技術,銀行搞那麼多防止機器登陸的措施,現在挖財居然拿用戶的密碼用黑客的方式登陸網銀,這是在挑戰銀行的底線么?我也一直希望有個網銀大管家,這樣就不用單獨登陸各個銀行查詢數據,我認為這個大管家應該採用用戶在銀行授權的方式,就像微信授權某個應用使用用戶的昵稱類似。最適合做這個工作的當然是銀聯,當然挖財有信心去和各個銀行、平台談介面也可以。現在的挖財就像那些搶票軟體一樣,拿了用戶的用戶名密碼,用程序讀出驗證碼在12306搶票,這簡直就是黑客行徑嘛,為什麼那麼多挖財的員工還信誓旦旦的說我們的技術多牛逼,機制多安全balabala,一開始就走錯路了,難道還會走到正確的終點么? 我看過綁定賬號時的協議和其他資料了,沒找到關於任何挖財如何連接網銀獲取數據的描述,所以才來知乎看看


針對挖財錢管家的安全性,我從4個方面做下補充:

1.應用安全

服務端採用安全隨機數和強哈希演算法;敏感數據採用業界標準128位RSA加密技術進行加密,並用更高級別的加密演算法甚至多種安全加密演算法組合策略;使用應用防火牆和自建CTU系統。

2.系統安全

使用入侵檢測系統(IDS);系統之間根據重要程度進行隔離部署;內部使用嚴格的授權和審計機;多機房數據備份和容災,保障用戶數據安全。

3.網路安全

架設多層防火牆;採用安全套接字(SSL/TLS)保障信道安全。

4.數據存儲安全

存儲方面保證數據不丟失。機房,保證24h運行,經手的操作人員必須得到ceo和coo雙重授權才可操作。同時監控能實時監控各項數據及經手的操作人員。

至於工作人員的職業操守,請充分相信挖財及挖財全體員工!

挖財用事實說話,一起來挖財吧!


核心並不在於說挖財這個服務要求用戶提供密碼,而在於個人對待自己各種財務密碼的態度。

挖財提供的服務需要用戶提供密碼來完成對應的服務內容,這個無可厚非。在這個層面上提供密碼,就好像『需要OSX系統才能運行本軟體』一樣的意思。你要享受這種服務就只能遵照這種要求。

為了享受某種服務而提供自己的財務密碼(各種銀行卡等的),這就是個人安全意識的問題,在這個層面上,每個人都應該只有一種態度『絕對不向其他第三人提供財務密碼』,因為第三人知道了你的密碼,你的財產就有被盜的風險。

所以不論挖財如何保證安全性、保證加密都不應該成為我們提供財務密碼的原因,為什麼要拿自己的財產去賭別人的承諾和誠信呢?


那個挖財技術負責人的答案大概意思就是說

你先把密碼給我們,你不給就是不相信我們

我們是有職業操守的公司

我很中立,沒有在給挖財說好話

你把密碼給我們,我們會好好保管它的,你放心

我是資深程序員,並不在乎你們的密碼和卡里的錢,我在乎的是我的操守。


先聲明一下, 我現在是挖財員工, 以下言論可能有「屁股決定腦袋」之嫌,所以,諸君可以呆著批判的眼光來看,但別一開始就先入為主的以「老子一定要批判死你「的態度來看,那就沒勁了。(另外,日常我說話從來都是tmd不斷,不爽覺得我是在罵人的,可以單獨開貼駡,哈哈)

其實扯了半天, 也就是樓主一開始就以懷疑的眼光來批判,這很好, 說明樓主有批判意識,但是,整個事件你的觀點我總結一下就是「沒給老子任何好處,還有可能泄露老子的隱私」, 然後就引申出一堆blablabla, 其實我剛開始接觸這個產品也是挺驚詫的,居然那麼多人綁定了,以哥多年良好的IS意識兼十多年軟體從業經驗,即使是當前東家的產品,我也一開始不敢用, 這就好像第一眼看到「銀河護衛隊」那張戰鬥機大網覺得很不可思議,然後可以這麼玩,也太tmd扯了吧? 可是, 冷靜下來想想, 有毛關係啊? 還不一樣是一個一個拼起來的? 對於綁卡和密碼這東西,查詢密碼給你就給你,又不會影響到我的資金,你丫也拿不走,我怕啥? 至於隱私, 操, 就算他們能看見,讓他們看唄,老子有這些錢,牛B不行啊?哪天不想讓他看了,把查詢密碼一改,萬事大吉啊!

其實就跟tmd體檢一樣, 抽你點兒血樣本嘛,幫你分析一下身體(財務)健康程度嘛, 有些人說老子就是強健如牛,不用檢查, 那OK那, 沒人逼你去;可是不意味著你不用,別人也不願意吧?

要說風險, 抽你血還可以去搞dna clone那,可你會天天為了這種SB的極小概率事件而放棄規避更現實的風險嗎?(比如短期內的病痛,no body lives for ever)

錢管家產品現在是有很多地方做的不好, 可是我們的團隊也在很賣力的摸索和改進, 想著怎麼給用戶提供更好的理財服務,比如像信用卡還款提醒, 代還信用卡等小功能, 目前來看還是很受用戶歡迎的,不過這也反映了我們做的還遠遠不夠,沒有在更大的層面,更應該為用戶提供有價值的服務層面做得更好。

我們後期希望為用戶提供理財建議,資產調配諮詢,成為個人理財顧問,甚至於成為一站式理財服務提供商,這是我們的理想和追求,我們不是tmd土匪,干一票是一票,如果真那樣,那tmd老子離開102年的那家溫暖的廟堂幹嘛?舒舒服服呆著不是挺好?還tmd犯賤降薪加入挖財創業?你要說非得BAT那種公司做的東西大家才可以相信,那就太侮辱創業者們了,難道BAT就是一出生就是富二代? 再說了,誰又敢說富二代就一定信用良好,童叟無欺,道德高尚, 大道為公那?

其實扯遠了, 我其實想說的就是,我們只要查詢密碼, 如果同學們查詢密碼和交易密碼一樣,那去改掉吧,這也算我們的功勞,起碼讓大家知道了一點基本的IS常識。 如果查詢密碼放出來你也擔心,那不要給就好了,因為我們是服務那些敢於嘗試又樂於使用挖財理財服務的用戶的。

風險和收益本來就是共存 ;-)


剛才下載試用了,鏈接淘寶之後提示我鏈接失敗。

接著我就收到郵件說我淘寶賬號有風險,讓我改密碼。

然後我改完密碼,重新綁定挖財錢管家,這次成功了,終於能用上了。

挖財老用戶了,相信挖財。


服務進行的前提,是提供者和接受者彼此間的信任。

挖財作為一個服務提供者,在個人記賬理財領域已深耕5年。從「挖財記賬理財」,到「挖財信用卡管家」,到「挖財錢管家」,挖財團隊一直努力為用戶提供更好體驗的移動端個人記賬理財產品,幫助用戶管理好自己的個人財務。幾千萬用戶的認可,是挖財團隊前進的動力。

「挖財錢管家」也是為了解決用戶的需求而產生的,它目前還不是非常完善,但它是在現有環境下相對合適的幫用戶管理個人賬務的工具之一。和「挖財記賬理財」一樣,我們不奢望每個智能手機用戶都會使用「挖財錢管家」,但我們相信,會有越來越多的用戶藉助「挖財錢管家」等移動App,把自己的賬務方便地管理起來。挖財「做老百姓的資產管家」的目標,不會改變。

我們專心為用戶服務;

我們理解旁觀者的質疑。

財寶們,加油!


看了挖財員工的解答,我只就一點來說:密碼是明文還是密文,你肯定說密文,明文就不討論,沒有意義。

好,是密文,那你就是存在資料庫里了,那你需要解密,演算法是什麼?內部的?總之最後你是以解密後的提交給銀行處理端了!那問題來了,有人知道演算法,會不會有人知道,絕對有的!員工離職就會發生!那安全就基本不可能了。

最後:

這樣的事情未來不可能共享,因為安全問題沒有人願意,

還有國內的死板企業也不可能會改變,除非衝擊他們的利益


挖財是走得太激進了。應該等到支付寶,淘寶,銀行提供open id,數據方通過規範的協議向app提供數據,就像現在流行的文章分享,一鍵登錄一樣,用戶在app里綁定qq,微博賬號,但驗證是由qq,微博進行的,並不會覺得不安全。靠用戶提供密碼,挖財模擬用戶登錄並獲取數據,就會讓人不信任,而且極易被支付寶,淘寶和銀行提示安全風險並封殺。

話說回來,阿里,銀行估計是不會願意提供數據共享服務的!


保管好自己的支付賬號和密碼

誰都別信。


不能忍了:

我是挖財4年老用戶,我多次反饋過需求需要這樣一個自動化管理賬戶餘額的功能。挖財前幾年回復會考慮,現在做到了。

你們這幫自以為專家的人覺得不安全就別用,沒人用槍逼你用!總有人需要!!


一萬個「挖財員工」,「n年挖財老用戶」已回答這個問題,要不是題目描述還正常就該直接舉報廣告了。

當年泄露一個隱私都要口誅筆伐,現在直接要密碼就該歌功頌德。題主要的是怎麼確保安全,說別的都是虛的,還談「信仰」,朋友你知道dota2嗎?


財產真的達到需要認真管理的程度的話,是不可能把密碼交個這麼一個破玩意的。


沒有用過,可能也不會去用,從回答和評論來看,感覺有點像:

你願意讓我從攝像頭看你家卧室嗎?放心,啪啪神馬的敏感信息都是加密的,我也不和別人說,大不了你關了攝影頭我就看不見了。反正我也就是看看,又不動你家東西,還能幫你分析指導下動作什麼的,你怕啥…

所以我還是好怕怕。

這個比喻也許不是很合適,歡迎指正。


有沒有白紙黑字寫明,若銀行賬戶應挖財的原因出現金錢損失,會得到全額賠付?

沒有?

那我憑什麼相信你?

職業道德?

滾你~

(/"≡ _ ≡)/~┴┴


推薦閱讀:

Jolla 手機的 Sailfish OS 如何做到兼容 Android 應用?效能如何?
有沒有什麼功能是手機上能實現,pc上卻無法實現的?
如何評價部分應用在App Store中的更新記錄語焉不詳?
挖財是怎麼贏利的?
Mac 上有哪些對 Markdown 預覽支持比較好的應用?

TAG:理財 | 應用程序Application |