双重认证规定使用两项独立的认证因素用以识别登录及下单行为是由用户本人作出,从而大大提升保安防护的作用。
“为进一步提高客户的交易安全性,根据香港证监会指引,我司将在4月27日正式启用登入交易系统双重验证功能。” 国都香港称,双重认证指使用下列任何两项因素的认证机制:客户所知的(例如密码)、客户所有的(例如硬件编码器、在短时间内失效的一次性密码)及客户是谁(即生物特征)。
其他券商也在响应这一指引。澎湃新闻记者在国泰君安国际的官网上看到,一则通知显示,“由2018年4月25日起,因应香港证监会对全港业界所发出的网络保安指引,客户在登入网上及手机交易系统时,必须通过已登记的手机号码或电邮地址接收,成功输入客户账号、网上交易密码及‘一次性验证码’方能进行网上及手机交易。”
疑点2:并未登录邮箱如何获取预设密码?
陈尚认为,国都香港虽然向其登记的邮箱发送了交易账户的新密码,但接受该新密码的邮箱无任何登录记录,因此该密码并非通过陈尚的邮箱泄露,有理由相信是国都香港电子系统等风险管理制度及设施存在重大漏洞而导致陈尚客户账户密码隐私信息泄露。
澎湃新闻记者在其提供的邮箱登录日志中看到,在其账户被盗用期间该邮箱确实无任何登录记录。
那么,是否存在并未登录邮箱但获取邮件内容的情况呢?
一位资深IT人士表示,也是有这种可能性的。“比如,假设原告的手机被黑客入侵,在其上一次登录邮箱时就和邮箱服务器建立连接以后一直保持连线状态,并且截取包含密码的邮件之后终端连接。”
另一位从事账户防护工作的人士则认为,不登录邮箱就获取邮件内容,需要直接到邮件存储的服务器,绕过密码,甚至可能在邮件发送出来时信息即被拦截。
在国都香港给澎湃新闻记者的书面回函中,该券商并未就记者提出的疑点给出回复。“一般对于尚处于有关部门调查阶段的事件或尚未解决的纠纷,如果对外提供有关资讯,有可能直接触犯香港《证券及期货条例》378条法律条款。”国都香港在回函中写道。
据介绍,一般来说,香港的证券公司会按照监管指引制定处理客户投诉的内部流程。在香港证券现行监管制度下,证券公司与客户的纠纷可以转介到“香港金融纠纷调解中心”解决。该中心的调解计划主要是以“先调解,后仲裁”的方式去协助解决金融机构与客户之间牵涉金钱的争议。如该争议未能通过调解方式达成和解,可以选择通过仲裁方式解决。按照相关证监会的指引,证券公司全面遵从金融纠纷调解计划,并受调解计划所订定的纠纷解决程式所约束,对于调解过程中的事件也有相关的保密要求。
(应受访人要求,本文人物为化名)
