上有政策,下有对策:Facebook和谷歌这样规避GDPR准则

随着GDPR的实行,使不少互联网产品商和服务商不得将数据收集和使用透明化,这给不少产品开发商带来了阵痛,上有政策,下有对策,挪威消费者委员会发现Facebook和谷歌竟自己偷偷打了“麻药”。

上有政策,下有对策:Facebook和谷歌这样规避GDPR准则

据挪威消费者委员会(后文简称“委员会”)报告,Facebook和谷歌正在开发“黑暗模式”(黑暗模式是指通过精心设计具有诱导性的界面,可能会引导用户做出有悖真实想法的选择),促使用户同意分享更多数据。

上有政策,下有对策:Facebook和谷歌这样规避GDPR准则

“如果在这种情况下的‘同意’是明确的、知情的和自由的,我们怀疑这是否符合默认数据保护和设计数据保护的原则。”

根据GDPR法则,欧盟公民必须保留知道正在处理他们数据的权利以及获取数据的权利。GDPR要求任何在欧盟开展业务的公司与人进行交互并处理数据,以获得用户对其数据的每种可能用途的明确同意。虽然Facebook和Google已经遵守GDPR法律,要求他们告知最终用户数据使用情况和条件,但他们也正在采取措施影响用户分享更多数据的同时而不触犯规定。委员会指出,“措施多种多样,例如通过混淆产品的全部价格,使用带有歧义的文字表达,或者调整用户习惯的功能按钮位置。”

委员会在4月和5月体验并核查了Facebook和谷歌的服务,发现Facebook和谷歌通过默认设置、措辞和图片来误导消费者对数据隐私的误解,使消费者的隐私选项缺乏便利度。

其中突出问题是默认设置,相比提供服务,GDPR要求默认设置不允许更多的数据收集。委员会认为在GDPR规则范围内,Facebook和谷歌查看数据的设置并非默认私人化。

无论是Facebook还是谷歌,用户必须主动访问网页或隐私信息中心,才能根据来自第三方的数据关闭广告。尽管Facebook和谷歌都有默认设置,这些默认设置已经预先选定至“最不需要隐私保护的程度”。

上有政策,下有对策:Facebook和谷歌这样规避GDPR准则

所有的服务都通过定位和视觉提示的结合来推动用户接受数据收集。然而,从长远看Facebook和谷歌却需要大量的步骤来限制数据收集。委员会表示,两家公司在研究GDPR的数据隐私政策时,都实施了给用户选择“采用或不采用”的方法。例如,在Facebook的GDPR弹出式页面上,如果用户点击“我接受”的备用框,它会引导他们进行另一种选择 – 表示他们可以返回并接受条款或删除其帐户。与此同时,当用户试图退出谷歌的GDPR弹出窗口的个性化广告时,他们被告知他们将失去屏蔽或屏蔽某些广告的能力。

WhiteHat Security的安全经理Jeannie Warner对此评论道,“GDPR很重要,因为它赋予公民权利,确保他们的数据可以从公司的系统中删除……开发人员不是隐私律师。他们希望用户不断分享信息。”

目前Facebook暂未回应媒体。谷歌的一位发言人表示:“多年来,我们一直在改进我们的数据控制,以确保人们能够轻松理解和使用他们拥有的工具。”研究社区和用户的反馈,以及大量的用户界面测试,能帮助我们反映用户的隐私偏好。例如,仅在上个月,我们就改进了广告设置和谷歌账户信息和控件。

如今各方对错难以用单一标准衡量,但由问题不难看出GDPR给厂商们带来的挑战并不小,但一刀切是否会带来更多问题呢?普通用户对自己的数据信息用途足够了解吗?如果一味压制,对数据的需求是否会在重压之下催生更肆虐的信息倒卖?撤除限制,公民的权利还是得不到保障,信息安全问题又刻不容缓,数据保护似乎比人们想象中更难。

你需要了解的智能音箱中的6种安全隐患

如果你家里有一台设备,它总是在监听着正在发生的事情,随时准备记录、处理和存储它接收到的任何信息,你会有什么感觉?你可以将它理解为是一种危言耸听的说法,但从本质上讲,它的确是智能音箱具备的功能所能办到的。

你需要了解的智能音箱中的6种安全隐患

智能音箱除了提供音频播放功能之外,也提供了互联网连接功能,通常还提供了数字助理,这极大地扩展了它们的功能。

有了今天的智能音箱,你可以搜索互联网、控制其他家庭自动化设备、在线购物、发送短信、安排闹钟等等。

这种连接性和功能性可能为我们提供了一些方便,但就像智能音箱等任何新的物联网技术一样,安全问题也随之而来。任何时候,只要向网络添加一个节点,就会暴露出更多潜在的漏洞。由于智能家居就目前而言仍然是相对较新的技术,因此它也必然存在漏洞。

尽管智能家居企业一直在尽可能快地修复这些漏洞,并希望确保它们的设备是安全的,但仍然有可能遇到安全问题。以下是你应该注意的6种潜在安全风险:

1. 意料之外的激活

虽然智能音箱始终保持监听状态,因为它们的麦克风一直处于开启状态,但它们不会记录或处理听到的所有内容,除非它们首先检测到其激活短语。对于Google Home,这个短语是“OK,Google”;对于Amazon speaker,请说“Alexa”。

这里有几个问题。首先,这项技术并不不完美,而且很有可能这个设备会把另一个短语错当成激活短语。例如,美国俄勒冈洲的一对夫妇最近就发现,他们的亚马逊Echo智能音箱一直在他们不知情的情况下录制音频。亚马逊将这一错误归咎于在背景对话中“Alexa”的误解,也就是说这对夫妇在日常对话中可能涉及了“Alexa”这个单词。

2. 错误判断语音指令

不幸的是,此类误解可能还超出了激活的范围。这对俄勒冈州夫妇还指出,智能音箱还将录制的音频发送给了他们联系人名单上的随机人员,因为收到录音的人联系了他们。

亚马逊为这部分事件给出了相同的解释。据该公司称,智能音箱错误的将背景谈话视为一系列命令,导致将谈话录音发送给了这对夫妇的联系人。这种情况表明,智能音箱对语音指令的判断技巧可能还达不到正常工作所需要的高度。

3. 不必要的广告互动

除了智能音箱可能会因误解线索并意外唤醒之外,其他人也可以在未经你许可的情况下有目的地主动唤醒它们。一旦他们这样做了,他们就有可能获得一些有关于你的信息。

汉堡王(Burger King)在运行一个广告时体现了这种漏洞,该广告在播放过程中激活了Google Home智能音箱,并促使它们朗读了皇堡(Whopper)的描述。谷歌反应迅速,阻止了设备响应。不过,汉堡王对此进行了反击,他们修改了这则广告,使它再次激活了Google Home智能音箱。

虽然这个恶作剧可能是相对无害的,但足以证明其他人也可能会在未经你许可的情况下激活你的设备。比如,对着你家的大门或敞开的窗户大喊大叫。由于此漏洞,你应该避免使用智能音箱来解锁门窗。当然,最好的主意还是修改你的激活短语。

4. 黑客和恶意软件

到目前为止,大多数关于智能音箱安全问题的报告都围绕着未经授权的访问或功能缺陷展开。这些设备当然也容易受到恶意的黑客攻击。

技术领域的安全专家已经发现了各种敏感漏洞,使制造商能够修复它们。然而,黑客可能会在某个时候先于安全专家发现其中一些漏洞。如果他们这样做了,他们可能就能够访问你的敏感个人信息。

为了避免自己成为黑客事件的受害者,请仅限于使用你信任的公司发布的硬件和软件。另外,请使用安全密码,并经常修改它。

5. 语音黑客

使用智能音箱还可能增加你被语音黑客攻击的可能性,这是身份盗用的一个分支。在这种攻击中,某个人可能会设法获取到你的语音录音,然后用它来访问你的信息。一旦他们有了这个录音,他们就可以用它来欺骗认证系统,认为他们就是你。这是一种绕过智能音箱语音识别功能的潜在方法。

智能音箱提供了一个潜在的音频录音金矿,可以用来进行语音黑客攻击。如果一个不怀好意的人设法侵入了你的音箱,或者存储记录的云服务,他们可以用它来破解你的各种账户。

6. 第三方存储你的数据

一些云服务正在存储这些记录,这一事实可能会让用户感到不舒服。这些录音可能用于个性化你的体验,提高智能助手的有效性,为你提供广告或做一系列其他事情。

幸运的是,如果你可以通过你的帐户设置删除这些数据。此外,倡导人士也在呼吁提高这些公司如何使用客户数据的透明度。

聪明地使用智能音箱

所有的智能技术都会伴随着安全风险。这并不一定意味着我们就不应该使用它们,但这确实意味着我们应该在使用时更加谨慎,并采取适当的安全措施。

如果你是智能音箱的追随者,那么请花时间配置你的安全设置,并仅限于你信任的人进入它们。

什么是DDoS攻击?DDoS防御的11种方针详解

对于遭受DDOS攻击的情况是让人很尴尬的,如果我们有良好的DDoS防御方法,那么很多问题就将迎刃而解,我们来看看我们有哪些常用的有效地方法来做好DDoS防御呢。

什么是DDoS攻击?DDoS防御的11种方针详解

对于DDoS防御的理解:

对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDoS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDoS攻击。

举个例子:

我开了一家餐厅,正常情况下,最多可以容纳30个人同时进餐。你直接走进餐厅,找一张桌子坐下点餐,马上就可以吃到东西。

很不幸,我得罪了一个流氓。他派出300个人同时涌进餐厅。这些人看上去跟正常的顾客一样,每个都说"赶快上餐"。但是,餐厅的容量只有30个人,根本不可能同时满足这么多的点餐需求,加上他们把门口都堵死了,里三层外三层,正常用餐的客人根本进不来,实际上就把餐厅瘫痪了。

这就是 DDoS 攻击,它在短时间内发起大量请求,耗尽服务器的资源,无法响应正常的访问,造成网站实质下线。

DDoS 里面的 DoS 是 denial of service(停止服务)的缩写,表示这种攻击的目的,就是使得服务中断。最前面的那个 D 是 distributed (分布式),表示攻击不是来自一个地方,而是来自四面八方,因此更难防。你关了前门,他从后门进来;你关了后门,他从窗口跳起来。

DDoS防御的方法:

1. 采用高性能的网络设备

首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。

这就是传说中的技术不够,用钱凑。

2. 尽量避免NAT的使用

无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。

3. 充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。

4. 升级主机服务器硬件

在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,若有志强双CPU的话就用它吧,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,别只贪IDE价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。

5. 把网站做成静态页面或者伪静态

大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器,当然,适当放一些不做数据库调用脚本还是可以的,此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。

6. 增强操作系统的TCP/IP栈

Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDoS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个,具体怎么开启,自己去看微软的文章吧!《强化 TCP/IP 堆栈安全》。

7. 安装专业抗DDOS防火墙

什么是DDoS攻击?DDoS防御的11种方针详解

8. HTTP 请求的拦截

如果恶意请求有特征,对付起来很简单:直接拦截它就行了。

HTTP 请求的特征一般有两种:IP 地址和 User Agent 字段。比如,恶意请求都是从某个 IP 段发出的,那么把这个 IP 段封掉就行了。或者,它们的 User Agent 字段有特征(包含某个特定的词语),那就把带有这个词语的请求拦截。

9. 备份网站

你要有一个备份网站,或者最低限度有一个临时主页。生产服务器万一下线了,可以立刻切换到备份网站,不至于毫无办法。

备份网站不一定是全功能的,如果能做到全静态浏览,就能满足需求。最低限度应该可以显示公告,告诉用户,网站出了问题,正在全力抢修。

这种临时主页建议放到 Github Pages 或者 Netlify,它们的带宽大,可以应对攻击,而且都支持绑定域名,还能从源码自动构建。

10. 部署CDN

CDN 指的是网站的静态内容分发到多个服务器,用户就近访问,提高速度。因此,CDN 也是带宽扩容的一种方法,可以用来防御 DDOS 攻击。

网站内容存放在源服务器,CDN 上面是内容的缓存。用户只允许访问 CDN,如果内容不在 CDN 上,CDN 再向源服务器发出请求。这样的话,只要 CDN 够大,就可以抵御很大的攻击。不过,这种方法有一个前提,网站的大部分内容必须可以静态缓存。对于动态内容为主的网站(比如论坛),就要想别的办法,尽量减少用户对动态数据的请求。

各大云服务商提供的高防 IP,背后也是这样做的:网站域名指向高防 IP,它提供一个缓冲层,清洗流量,并对源服务器的内容进行缓存。

这里有一个关键点,一旦上了 CDN,千万不要泄露源服务器的 IP 地址,否则攻击者可以绕过 CDN 直接攻击源服务器,前面的努力都白费。搜一下"绕过 CDN 获取真实 IP 地址",你就会知道国内的黑产行业有多猖獗。

11. 其他防御措施

以上几条对抗DDoS建议,适合绝大多数拥有自己主机的用户,但假如采取以上措施后仍然不能解决DDoS问题,就有些麻烦了,可能需要更多投资,增加服务器数量并采用DNS轮巡或负载均衡技术,甚至需要购买七层交换机设备,从而使得抗DDoS攻击能力成倍提高,只要投资足够深入。

如何防御DNS陷阱?常用3种DNS欺骗手法

DNS如何被利用?那么这个系统如何让用户变得脆弱?通常解析器会告诉每个DNS服务器你正在寻找哪个域名。此请求有时会包含您的完整IP地址。或者,如果不是您的完整IP地址,请求中通常会包含您的大部分IP地址,这些IP地址可以轻松地与其他信息结合起来以找出您的身份。

如何防御DNS陷阱?常用3种DNS欺骗手法

以下是防御黑客常用3种DNS欺骗手法:

1. 避免不可靠的解析器

网络可以逃避提供不可靠的解决方案,窃取您的数据或欺骗DNS,因为很少有用户知道风险或如何保护自己。

即使对于了解风险的用户,个人用户也很难与他们的ISP或其他实体进行协商,以确保他们的DNS数据得到负责任的处理。

寻找一个合适的解析器,如果我们有一个可以信赖的解决方案来保护用户的隐私。这意味着Firefox可以忽略网络提供的解析器。安全研究人员表示,有了这个可靠的解析器,我们不必担心流氓解析器出售我们的用户数据或用欺骗性DNS欺骗我们的用户。

如何防御DNS陷阱?常用3种DNS欺骗手法

2. 通过HTTPS使用DNS防止路径上的窃听和篡改

虽然解析器不是唯一的威胁。路径上路由器可以跟踪和欺骗DNS,因为他们可以看到DNS请求和响应的内容。但是互联网已经有了确保路径上路由器不能像这样窃听的技术。这是我之前提到的加密技术。

通过使用HTTPS交换DNS数据包,我们确保没有人能够监视我们用户正在做出的DNS请求。传输尽可能少的数据,以保护用户免受匿名处理。除了提供使用DoH协议进行通信的可信解析器之外,寻找安全DNS服务商,使其更安全。

通常情况下,解析器会将整个域名发送给每个服务器-根DNS,TLD名称服务器,二级名称服务器等。好的DNS服务商。它只会发送与当前正在与之通话的DNS服务器相关的部分。这被称为QNAME最小化。

如何防御DNS陷阱?常用3种DNS欺骗手法

3. 删除域名中没用的解析

解析器通常也会在请求中包含您的IP地址的前24位。这有助于DNS服务器知道您的位置,并选择离您更近的CDN。但是这些信息可以被DNS服务器用来将不同的请求链接在一起。

一些稳定的DNS服务商,是从用户附近的一个IP地址发出请求。这提供了地理位置,而无需将其绑定到特定用户。除此之外,他们正在研究如何以隐私敏感的方式实现更好,形成非常细粒度的负载平衡。

这样做,删除域名中不相关的部分并且不包括您的IP地址,意味着DNS服务器所收集的关于您的数据要少得多,从而更好保护你的隐私。

量子计算网络风暴即将来临

随着技术的不断发展,越来越多的问题得到解决。无线电解决了即时通讯问题;电灯让我们能在日落后继续干活;电脑,互联网带来了许多新机遇。但是科技进步的同时也淘汰了很多旧事物,技术的革命性越强,其破旧功力也越大!

在目前新兴的技术中,要数量子计算的革新性最强,这种革新能力将有如加密技术一样带来一阵强大的技术风暴。

量子计算网络风暴即将来临

量子计算的演变

科幻小说中,量子计算更像是魔法而非科学。因为小说里展现的不是电路,而是主人公操作量子比特的画面。

和如今电脑中电路处理的二进制数据不同,量子比特是叠加存在的,它存在于1到0之间的无限空间。因此,理论上它们似乎可以针对一个问题立即给出所有解决方案,而电脑还必须一次尝试一种可能。

现在唯一阻碍量子计算机发展的就是物理工程学方面的挑战,而政府和私企正在努力克服这一问题。

量子计算威胁加密保护地位

随着量子计算的发展,加密技术以及利用加密技术保护的数字信息都面临着威胁。攻击者利用电脑破解加密文件归根结底只是时间问题。大多数现代加密系统,如 Diffie-Hellman 和 RSA,都是基于一个前提——让黑客计算很长的时间才能找到密钥。

由于量子计算并不按这个套路出牌,它不需要一次一次地进行组合,使用量子比特就可以一次就试遍所有的密码组合,几秒的时间就找出正确密钥。

目前唯一限制量子比特解密速度的是当前量子计算机的数量还有限,这一点已在稳步改善中。

美国国家标准与技术研究院(NIST)科学家意识到了这种威胁,该机构的一份报告明确表示量子计算将为加密技术带来威胁。报告称,如果建立大规模的量子计算机组,就可能破解目前大量公共密钥加密系统。唯一的办法是——现在就给信息安全系统做好抵抗量子计算解密的准备。

攻击者不会等你,潜在的攻击者正在窃取加密数据,他们期望不久的将来用量子计算机给数据解密。现在如果没有合适的数据保护措施,一旦他们有了量子计算工具,就会迅速出现数据泄露的威胁。

当前量子世界的数据保护进展

量子计算机解密的问题仍在不断演变。鲜少有人能完全理解这一问题的影响力,还有一些人则对这种危机浑然不觉,但一些创新者正努力依照 NIST 的推荐,为即将到来的量子风暴做准备。

大部分使用量子计算或量子机制的方案都试图创造一种量子计算机无法解开的锁。因此,“后量子加密术”与典型的“AES 加密术”截然不同。用一个例子来说明:

位于卢森堡的卫星运营商 SES 正致力于创建量子加密电讯系统 Quantum Cryptography Telecommunication System (Quartz),这个系统将成为未来异地分散网络的密钥分配平台。这个基于卫星的 QKD(量子密钥分发)系统利用太空光子来保护密钥。

IBM 研究人员也正在研发一种基于数学格框架(mathematical lattices)的新型加密机制,在这种机制中,数据隐藏于复杂的代数结构中。这一想法旨在阻止量子计算机用其强大的运算功能解密,其原理是在原始问题的后部分出更多复杂的加密层,这样整个数学格框架无法在同一时间被全部看透。

与此同时,一家名为 Quantum Xchange 的公司研发了一种利用 QKD 技术的方法。在这种方法中,密钥基于不可破解的量子现象而生成,目的是创建首个安全保护文件的全国性网络,再将其数据发至任意距离之外。和其他处于研发中的方案不同,Quantum Xchange 网络现在就可用,而且此方案弥补了目前加密术中的一些不足之处。

量子计算的风暴来势汹汹,但目前安全界在保护数据方面并非一无是处。现在投资部署正确的防御,未雨绸缪的人就能在量子风暴中稳稳保护好自己的数据。

出海的交易所们又悄悄回来了

出海的交易所们又悄悄回来了

被政策叫停10个多月后,ICO和数字货币交易禁而不死、转入地下,伴随着某些新兴平台的兴起,甚至显示出重新抬头的迹象。

今年5月,数字货币交易平台FCoin上线,仅用半个月交易量超过OKEx、币安、火币等6家交易所之和,成为“宇宙第一所”。平台币FT上涨70余倍,引发币圈“抢份额”浪潮。在币圈熊市下,这种炒币的热潮已经“久违”了。

炒币再度趋热,那些曾经屏蔽中国大陆网络IP、甚至离开中国大陆的数字货币交易所又将目光投回国内。区块链真相(ID:chaintruth)尝试登陆了FCoin、火币Pro、币安、OKEx、ZB等8家数字货币交易所,发现其全部对国内用户开展业务,提供包括账号注册、数字货币交易等服务。

7月9日,中国人民银行副行长潘功胜重提ICO监管,并称跑到国外的数字货币交易机构,未经中国政府许可,仍然对中国的居民开展业务,也是明确为非法并禁止的。

这让热闹的币圈添了一阵凉意。“回光”的炒币潮,还能持续多久呢?

海外ICO机构对中国居民开放业务也非法

据第一财经7月9日报道,中国人民银行副行长潘功胜表示,ICO(首次代币发行)以及各类变相的ICO、比特币等数字货币交易活动,以及互联网外汇交易平台,涉及非法集资和非法发行证券,“是不让干的”。

潘功胜称,目前部分机构在中国国内受到打击之后跑到国外,未经中国政府许可,仍然对中国的居民开展业务,这也是明确为非法并禁止的。他还着重强调了要遏制增量风险,对一些新的互联网金融产品和业态的出现,在现有法律和政策框架中,如果不符合,那么“露头”就打。

出海的交易所们又悄悄回来了

中国人民银行副行长潘功胜

这无疑再次给热闹的“币圈”浇了一盆凉水。

这并不是监管部门第一次提出对境外虚拟货币交易平台进行监管。

去年9月4日,央行等七部委发布《关于防范代币发行融资风险的公告》,称“ICO本质上是一种未经批准非法公开融资的行为,涉嫌非法发售代币票券、非法发行证券以及非法集资、金融诈骗、传销等违法犯罪活动。”并要求即日停止各类代币发行融资活动。

“9·4”政策犹如一场暴雨,将国内ICO的火苗浇灭。2017年9月15日,火币网和OKCoin几乎同时发布公告称,将于9月30日前停止交易;并将于10月31日前,依次逐步停止所有数字资产兑人民币的交易业务。此后两家平台的数字货币交易业务转移到海外。

然而元旦过后国内市场的“区块链”热,让部分搬迁到海外交易平台难以割舍这块“蛋糕”,他们以海外交易所的身份,继续向国内投资者提供数字货币交易服务。

今年2月4日,央行主管媒体《金融时报》官方网站“中国金融新闻网”发文称,自去年9月以来,ICO、虚拟货币在中国经历了一轮最强监管,国内ICO及虚拟货币交易所的清理整治已基本完成。但去年底以来,一些境内人士转向境外网站平台参与ICO和虚拟货币交易,相关行为又有了死灰复燃迹象。在此情况下,中国将对虚拟货币境外交易平台网站采取监管措施,采取包括取缔相关商业存在,取缔、处置境内外虚拟货币交易平台网站等在内的一系列监管措施,以防范金融风险,维护金融稳定。

就在该消息出现前后,多家数字货币交易所纷纷发声,称不再为中国大陆用户提供服务。并屏蔽大陆IP。2月1日,币安在官网发布公告,称“根据中国相关政策法规,币安不为中国大陆地区用户提供服务。”随后平台将中国大陆的IP访问屏蔽。此后火币、OKEx平台也传出将屏蔽中国大陆IP访问的消息。

出海的交易所们又悄悄回来了

2月1日币安在官网发布的公告

一时间数字货币交易所几乎全部撤离了中国大陆。

今年4月23日,中国银保监会发布消息称,密切关注民间贷款利率以打击非法集资,继续防范互联网金融风险,所有ICO平台和比特币交易已经安全退出中国市场。

然而整顿之后,随着“区块链”概念持续被热炒,国内“炒币”之风渐渐死灰复燃。近日,区块链真相(ID:chaintruth)发现,多家数字货币交易平台已经对国内炒币者重新开放注册和交易,甚至一家交易所推出营销活动就能掀起一波币圈乱斗。

“炒币”死灰复燃 交易所竞争引发币圈乱斗

5月21日,一家名为“FCoin”的数字资产交易平台上线。据清科研究中心披露的信息,该交易所注册地在中国香港,由火币前CTO张健发起创立。

其主打“交易即挖矿”的模式,交易产生的交易费用会变成平台币FT,并返还给用户,相当于免费交易;并且对项目方也不收“上币费”。平台一时间吸引众多币圈投资者。根据网上公开信息,6月13日Fcoin交易的第15天,其交易量超过了OKEx、币安、火币等6家交易所之和,被币圈戏称为“宇宙第一所”。有媒体报道,6月17日按照当天总交易手续费推算,平台当天总交易量超2000亿人民币,达到巅峰。

出海的交易所们又悄悄回来了

媒体对FCoin的宣传页面

FCoin的出现甚至在国内币圈也掀起一阵炒币热潮,其平台币FT的价格自开盘0.09元,在不到一个月的时间飙升至7元,累计上涨70余倍,引发币圈“抢份额”浪潮;仅用一个多月,注册用户便接近200万。尽管从公开数据无法判断其注册用户中国内用户占比是多少,但从其针对国内用户的宣传看,该用户数量不可忽视。

面对FCoin的崛起,曾经交易量位居头部的交易平台OKEx、币安、火币等也坐不住了,开展起“围猎之术”。

6月19日,OKEx发布《关于OKEx启动数字资产交易所开放共赢计划的公告》,宣布将把OKEx五年来在数字资产交易领域积累的撮合系统等能力开放给“OK伙伴”,打造一批数字资产交易所,首期将开放100个名额。说白了,OKEx要培养100家小交易所进行反攻。

币安延续了这种“套路”。6月21日晚间,币安宣布推出数字资产交易所联盟计划,首期将开放1000个名额,锁定10万枚BNB(币安的平台币)的团队即可申请。

而火币则打出了“生态伙伴”牌。6月22日,火币官方微信公众号称,启动对 Huobi Token 的升级计划,将从“火币全球通用积分”升级成为“火币全球生态通证”。这意味着火币与其投资的交易所、媒体、钱包、矿池、孵化器、资产管理等业态企业更深度绑定,通过生态红利吸引用户。

斗争的结果是,数字货币价格波动变大,平台币价格也纷纷下跌。比特币从6月10日的7700多美元到6月11日跌至6600多美元,此后一直在该价格附近徘徊;FCoin的平台币FT的价格则在9天时间从峰值跌去65%。

十大交易所中五家对中国开放注册

交易所斗争的原因,是因为他们有相当多重合的用户群体。而中国的用户,则是他们不可忽视的市场。

区块链真相(ID:chaintruth)梳理发现,目前国内币圈主流的数字资产交易平台为FCoin、火币、币安、OKEx、BigONE、ZB等平台。这些平台通过改变网址等方式,放开对国内数字货币投资者的注册,并可以进行数字货币交易;此外gate.io(比特儿)、币赢网也向国内币圈投资者开放注册和进行数字货币交易。

出海的交易所们又悄悄回来了

币安改变网站地址,推出中文版交易所

7月10日,区块链真相(ID:chaintruth)分别登录这8家交易平台的网站,部分平台的网站网址比老版做了一些改变,尽管这些平台的注册地选择了香港、美国、萨摩亚等地,即非境内企业,但交易平台均上线简体中文版,并可通过境内手机号注册。

在注册时,火币、OKEx、BigONE、ZB、gate.io(比特儿)、币赢网无需“翻墙”便直接完成注册,甚至有些平台还设置了境内居民身份证认证的环节。

在使用境内IP登录、注册币安时,浏览器出现断网情况;但是根据网上在今年5月份披露的步骤,同样无需翻墙也能完成注册,甚至币安的客服还在微信群向炒币者推送新的中文版网站,但该网站极不稳定,时常无法登陆;而FCoin尽管注册时也出现浏览器出错的情况,但最后也无需翻墙即可完成注册。

出海的交易所们又悄悄回来了

火币Pro登陆后的界面

开放注册之外,火币、OKEx、ZB、gate.io(比特儿)、币赢网等平台还提供法币对数字货币的场外(C2C)交易,兑换完数字货币后才能在平台进行币币交易;币安、FCoin、BigONE则需要使用者先通过场外交易平台获得数字货币,然后充值到平台才能进行币币交易。而这种“币币交易”的模式,通过绕开法币交易,打了政策的擦边球。

出海的交易所们又悄悄回来了

币安的界面

根据数字货币行业大数据平台“非小号”交易平台排行,OKEx、币安网、火币Pro、ZB网入围前十大交易所(未统计FCoin);而如果算上近日崛起的FCoin,则十大交易所中至少有五家对国内用户开展业务。根据7月10日傍晚的数据,这8家交易平台24小时的成交额在800亿人民币左右。

随着监管重提对境外数字资产交易平台的监管,这些将业务伸向国内投资者的交易平台该何去何从?

6月25日,FCoin创始人张健在“王峰十问”中阐述了自己对监管的看法:监管必将经历一次认知升级,在很多的尝试和努力之后,一定会发现用原有的金融监管办法和条例,很难去监管这些新兴的高流动性资产。这个时候,监管层就愿意去发展出一套新的体系,FCoin愿意配合,并且提供包括技术在内的多方面的支持。

看来,“数字货币交易所”对待监管,还很乐观。

深度揭秘赌球黑幕:比毒瘾更厉害 有人输掉人生被判无期

央视网消息:最近世界杯正在紧张进行中,就在大家享受赛事带来的快乐时,有人也不忘就此博上一把,或为刺激,或为求利,然而殊不知,他们正落入庄家的圈套,轻则损失一些钱财,重则被套住了人生。

赛事到关键阶段 赌球信息散布

最近,不少人收到过这样一些短信,里面是一些博彩网站的广告,其中不乏关于世界杯赌球的内容。这些广告打着“高赔率”、“一分钟结算”等宣传词,还提供了咨询的渠道。

深度揭秘赌球黑幕:比毒瘾更厉害 有人输掉人生被判无期

记者根据一些短信中的提示,添加了上面的微信,很快通过了验证。对话当中,对方为记者提供了地址以及邀请码,让记者自行注册账户。在记者询问是否可靠之后,对方声称,如果实在担心,可以先小额下注,观察一下,或者随时来澳门证实。

记者按照对方提供的网址打开了这个网站,显示有“2018世界杯指定投注网站”等字样,并有一个“立即投注”按钮。

除了短信,很多网络聊天群也成为赌球的聚集地。世界杯期间,由于线上世界杯购彩平台被关停,部分赌球活动转移至社交平台,甚至还有外围购彩的推荐。根据7月9日微信安全中心的公告显示,今年二季度微信对涉嫌网络赌博的50000多个账号进行了阶梯式处罚,对8000多个涉赌微信群进行封群处理,其中不乏大量专门赌球的微信群。

无力偿还赌债 赌球代理投案自首

赌球团伙,赚到的都是来自参赌人员的赌金。可很多参与赌球的人,甚至一些赌球团伙内部的人,却深陷其中不能自拔,无力偿还赌债。

林某,赌球团伙的一个下级代理,因为无力偿还赌债,而选择投案自首。林某欠下的赌债有六十多万元,其中一部分是自己输掉的钱,一部分是别人输掉的钱。

深度揭秘赌球黑幕:比毒瘾更厉害 有人输掉人生被判无期

据林某说,多年前,他曾经参与过赌球,输了些钱,但是后来戒掉了,然而,侥幸心理让他又再次踏足这个圈子,本来他自以为聪明只做代理,赚参赌人员的一些抽成,不会有什么风险,然而他却不知道的是,赌球这个圈子的除了庄家,谁都不会稳赚不赔。

原来,广东地区的赌球团伙普遍采用的都是信用模式,也就是说,通过熟人介绍来的参赌人员,会给他一个信用额度用来赌博。赌球团伙会根据情况,设定一个期限与参赌人员进行结算,可能一两天,也可能一两周,在此期间,参赌人员赌的都是自己的信用额度。对于林某来说,他找来的这些参赌人员中,有人就因为输的过多,而选择了跑路。这些跑路的参赌人员所欠下的账,最终也就落到了林某头上。而林某想到的不是就此收手,而是选择了自己参赌。

像林某这样深陷其中的不乏其人。广东佛山的陈某,有自己的一个五金厂,日子过得倒也丰实。但是一旦陷入赌球的陷阱里面,钱财很快不见踪影。就这样,几十万元很快就被陈某输完了。陈某:“现在妻子也都不理我了,带着儿子出去了,这个影响很大的。现在做生意也不好做,几十万的话对我们厂的运作来讲的话比较困难,所以说如果输了这么多赢不回来,后续的话这个市场经营就会遇到很大的阻碍。”

同样,抱着“小赌怡情”的心态参赌,最终却“大赌伤身”的也不乏其人。蓝某,广州市花都区梯面镇政府财政所原会计,2012年,在同学邓某的介绍下开始参与网络赌球,后来也会参与其他赌博。但是久赌必输,为了偿还赌债,他将目光盯向了公款。广州中院近期一审认定蓝某某贪污7745万余元,以贪污罪判处其无期徒刑。

深度揭秘赌球黑幕:比毒瘾更厉害 有人输掉人生被判无期

抽水返佣 资金都来自参赌投注

这些参赌人员,一心想着能凭运气博到财富,殊不知,庄家正是利用了这种心态,将他们玩弄于掌上。为了能将参赌人的钱骗到自己手中,赌球团伙可谓煞费苦心。

抽水,赌球圈子里的一个专业名词,也就是我们通常所说的抽成,这是赌球团伙获利的一个基本方式。据警方介绍,网络赌球团伙组织严密、层级分明,形成固定的赌博网站——总代理——代理——参赌人员结构。网络赌球集团内部呈“金字塔”结构,运作流程一般为在境外设立赌博网站,通过提供信誉账户或者网站端口等方式在国内寻找总代理,总代理招揽下级代理,由下级代理发展参赌人员,并接受参赌人员投注。这里的代理,并不固定只有一层,很多人既是参赌人员,又会拉来亲朋好友参赌,这些人也就成为代理,赚取抽成。

深度揭秘赌球黑幕:比毒瘾更厉害 有人输掉人生被判无期

层层返佣,这返的就是参赌人员的赌金。义乌的张某就是一名代理,他通过各种方式拉来参赌人员投注,一场球赛的投注额可达几百万。

义乌市公安局义亭派出所副所长郭凯敏:“我们这个案件虽然等于说是世界杯才刚刚开始,所以说还没有达到疯狂期,还是刚刚在膨胀的一个期间,我们初步的对我们的场次的押注情况进行了一个估算,一场球赛可能有200万以上的押注金额。跟上级代理结算的话,我可以获得2%,甚至高达5%的回扣。那按照200万来算的,我光中间的佣金,我就2万至10万。那一天晚上下来的话,这个数字不得了。”

“对赌”:风险更大 暴利更大

抽水,层层返佣,这类似传销的方式,扩大了参赌人员的人群的同时,也让参赌人员的赌金受到了损失,而这还只是赌球团伙用来赚钱的套路之一,另外一个更加危险的套路则是对赌——自己当庄家。

对于赌球团伙来说,抽水已经不能满足他们贪婪的胃口,对赌才是它更加暴利的来源。对赌,虽然暴利,但同样有风险。有时候赌球团伙也不是肯定赚钱的,然而,这里面还有一个很大的套路就是,赌球团伙可能会跑路。

深度揭秘赌球黑幕:比毒瘾更厉害 有人输掉人生被判无期

陈某就碰到过这样的事情,在输了几十万后,一天晚上,他总算是赢了两万多元,但是没想到上家却找不到了。虽然后来上家再次出现,但是这笔钱陈某还是没法要回来。

对于赌球团伙来说,对赌看似风险很大,其实非常暴利,因为他们输了钱,可能会选择不兑付。

中山市公安局石岐区分局副局长廖晟:“它这个赌博网站最大的诱惑点就在于,它跟我们足彩不同的地方就在于我们足彩你要先掏出真金白银过来,先去买他的彩票,那么这个资金它是可控的,你输了之后,你输了自己能够担负的起的钱,你赢了之后,那它会有一个确定的返还。那么目前这个境外赌博网站,它最大的不确定因素在于它是信誉赌,就是说我在赌博的时候,我并不需要一开始就拿出真金白银出来,譬如说一个星期之后,我再去跟赌博网站去结算,那么这个承担的最大风险就是在这个赌博网站的链条上,只要任何一个链条出现了资金的断裂,对整个链条都会有影响。那就可能说,赌客拿不到钱,或者代理拿不到钱。”

久赌必输 莫深陷赌球泥潭

除了“对赌”,赌客逃不过赌球团伙算计的另外一点,就是由于博彩公司掌握了大量的资源和数据,并由专业人士对这些数据进行计算分析、调整赔率,所以从总体上来看,只要参与了赌球,最终输的一定是赌球者。

深度揭秘赌球黑幕:比毒瘾更厉害 有人输掉人生被判无期

义乌市公安局义亭派出所副所长郭凯敏:“庄家掌握的数据和资源是我们一般人接收不到的,而且是最鲜活的数据,同时它拥有一支非常强大的计算队伍,他队伍里面有世界一流的精算师开展积分运算来算出来他们的赔率,他们算出来的赔率,往往都是比较让他们利润最大化的赔率。并不是说,你参赌人员购买利润最大化的赔率。”

参赌人员或许会觉得自己的算计更加精明,赌赢的概率会更大一些,殊不知却落入了庄家的圈套。比如,博彩公司会利用赌球者喜欢以小博大的赌徒心理,通过调整赔率以及增加各种不同玩法来诱导你的押注选择。

义乌市公安局义亭派出所副所长郭凯敏:“举个例子,世界一流的强队跟世界三流的强队,那庄家开出的赔率,世界一流的强队胜率是1.3,意味着你押注一万,你只能赚到三千。那往往很多参赌人员就认为这种赔率没必要去买,而且他们其实心里认为世界一流强队肯定是能赢的,但是他们觉得不刺激,他们往往会选择其它的押注方式。那在这个时候,庄家就会开出一些高利率、低概率的,高赔率、低概率的赔率来诱使你去购买另外的押注。”

在各种手段之下,每次赌球团伙都能赚得盆满钵满。所以作为庄家来说,他希望可以有更多的人参与到他们所开的盘口中进行赌球,而作为赌球者,只要有过一次赌球的经历,就容易陷入这个泥潭中无法自拔。

深度揭秘赌球黑幕:比毒瘾更厉害 有人输掉人生被判无期

林某:“钱来的快,比如说我今天下注从小下到大,一百,慢慢的你就会下到一万,等你下到一万之后你赢够了,你自己想着,我赢够一百万我就不赌了,我就收手了。但是到你赢到九十九万的时候,没过两天,你就倒欠了九十九万,或者更多。因为这个是真的一个瘾来的,就是这种无形的心理,人很不自觉,你吸毒你还是要靠工具,你赌,现在科技那么发达,你只要靠一部手机或者一个电话,一分钟两分钟你知道结果,你就已经知道输赢了。所以这种比毒瘾还更厉害的刺激来的。”

组织或参与赌球 属违法犯罪行为

那么,参与赌球,以及组织赌球,是属于怎样的违法行为?又该接受怎样的法律制裁呢?

警方介绍,很多人其实不知道,他们通过那些赌球团伙开设的赌球盘口进行押注的行为,其实已经触犯了《中华人民共和国治安管理处罚法》中相关的规定。

义乌市公安局义亭派出所副所长郭凯敏:“有很多人认为,我就普通的进行一个押注,只是带着娱乐性,他们认为这种是娱乐,而且大家都在参与这个世界杯的押注。但是,你的押注行为已经违反治安管理处罚法的70条,涉嫌赌博,根据治安管理处罚法,我们可以对你依法处以五日以下,或者十至十五日的治安拘留。”

对于赌球组织者来说,则可能涉嫌赌博罪或开设赌场罪,根据刑法第三百零三条规定,以营利为目的,聚众赌博或者以赌博为业的,处三年以下有期徒刑、拘役或者管制,并处罚金。开设赌场的,处三年以下有期徒刑、拘役或者管制,并处罚金;情节严重的,处三年以上十年以下有期徒刑,并处罚金。同时,《最高人民法院、最高人民检察院关于办理赌博刑事案件具体应用法律若干问题的解释》第二条规定,以营利为目的,在计算机网络上建立赌博网站,或者为赌博网站担任代理,接受投注的,属于刑法第三百零三条规定的“开设赌场”。

缺乏安全培训导致内部威胁快速增长

现在我们越来越依赖于技术,网络安全泄露事故导致数据盗窃或系统中断的可能性也越来越大。IT专业人员和执法团队正努力应对使用最新攻击技术的网络罪犯。

根据调查显示,在过去一年中,32%的企业遭受网络攻击。每年企业共计损失3880亿元来应对安全泄露事故,单用于修复计算机病毒的费用每年达到约550亿美元。虽然网络罪犯受到很多关注,也经常成为新闻头条,但其实企业内部威胁(无论是否恶意)可能更大。

Discuz最新版代码执行漏洞

0×00概述

近期审计discuz最新版的时候发现配置文件写入导致代码执行的问题。cms安装的时候一般会分为几个步骤去进行,其中有对配置文件config进行写入的步骤,当写入的时候未严格限制传入的参数就存在代码执行问题。

0×01 白盒审计

源码信息:Discuz_X3.4_GIT_SC_UTF8

问题文件: //upload/install/index.php

漏洞类型:配置文件写入导致代码执行

站点地址:http://www.discuz.net/forum-10-1.html

直接看配置信息写入的代码段为 //upload/install/index.php

Discuz最新版代码执行漏洞

看到save_config_file()函数是保存写入配置信息的,配置信息为$_config这个数组,我们跟踪下这个数组;

还是这个文件,代码段为第266行;

Discuz最新版代码执行漏洞

这里的$forceinstall参数即为通过POST接收的配置信息数值为二维数组,看到里面的dbinfo了,这里程序本身未对传入的POST值进行任何过滤,也就存在代码执行问题了。

0×02 漏洞利用

直接安装到写入配置信息的步骤;

Discuz最新版代码执行漏洞

填入正确的数据库用户名账号和密码之后抓包;

Discuz最新版代码执行漏洞

这时候看下具体配置文件,代码段为/upload/uc_server/data/config.inc.php;

Discuz最新版代码执行漏洞

我们以前缀dbinfo[table_pre]参数为利用,看到使用单引号和括号括起来,所以payload为;

payload = pre_’);phpinfo();//

发到上述抓包里点击安装即可写入配置文件;

这时候看这个配置文件;

Discuz最新版代码执行漏洞

直接访问这个文件即可执行;

http://127.0.0.1/Discuz_X3.4_GIT_SC_UTF8/dir_SC_UTF8/upload/uc_server/data/config.inc.php

Discuz最新版代码执行漏洞

0×03 防御

这个漏洞原理比较简单,针对其防御方法是需要对传入的配置信息进行转义处理,这里只要转义单引号就可以了,但是刚开始我有疑惑的点就是这里的payload在实际情况下,我们需要通过类似“爆破”的思路去测试大量payload,但是由于“安装锁”的存在,安装一次就会锁定程序生成install.lock文件防止重装,也就是“爆破”不了,那么这个漏洞是不是就利用不了呢?为了解决这个疑问,我重新看了下安装时候的源码信息,发现这个漏洞还是可以利用的;

Discuz最新版代码执行漏洞

还是在安装的文件里,第478行,可以看到在写入配置信息到config文件之后,下面还会判断当methon为ext_info的时候进行其他操作即生成安装锁文件进行锁定,到这个步骤才是完整的安装操作,也就是和之前的写入配置信息是“分开”进行的,也可通过抓包去看,比较明显,是两个不同的数据包,互相不会干涉,写入配置信息的数据包不会锁定安装程序,所以导致可通过“爆破”去利用,程序这么去设计也是业务逻辑的需求吧,如果写入配置信息的步骤即可生成安装锁文件并且结束安装的话,这个漏洞就利用不了了,除非存在任意文件删除漏洞可以去删除install.lock这个文件。

* 本文作者:davichi8282,转:FreeBuf.COM

12万用户追讨小鸣单车押金 公司净资产负6700万元

7月10日下午2时30分,广州市中级人民法院第二法庭,对小鸣单车的经营方广州悦骑信息科技有限公司(下称“悦骑公司”)申请破产清算第一次债权人会议召开。同一时间,在上海,一家曾为小鸣单车提供单车转运业务却被拖了运输费的公司,负责追讨的王先生正盯紧屏幕。屏幕上,是这起案件庭审的直播。

(原标题:追讨小鸣单车押金)

12万用户追讨小鸣单车押金 公司净资产负6700万元

昨日,管理人也通过“小鸣单车破产工作信息”微信公众号发布了“管理人公告”。公告披露关于小鸣单车的诸多细节:截至2018年6月27日,管理人收到的债权申报数为:小鸣单车用户申报债权127040笔,管理人初步确认有效申报人数是118738人。

但是,根据审计初稿反映,截至2018年3月31日,悦骑公司总资产审定数为150044100.17元,总负债审定数为216709316.02元,净资产审定数为-66665215 .85元,即大概为负6700万元。

现场

债务人席位上只有一个人 庭审过程中几乎不发一语

在庭审现场,债务人席位上只有一个人:一名穿着条纹衫的中年男子,整个庭审过程中几乎不发一语。

小鸣单车的债权人众多。因为此次第一次债权人会议现场的座位数量有限,只能通过抽签的方式申请现场参会。一共有261位用户债权人在截止日期内提交了申请。最后,22名债权人表示会现场参会,而他们中的大多数人则坐在了旁听席上。

更多的债权人,则像王先生一样,他们坐在屏幕前,希望能够听到有利于他们的信息。

在马路上,或许你偶尔仍能发现小鸣单车的身影,它们往往已被弃置在角落,落满灰尘。在共享单车仍然火旺的今天,要遗忘其中一种是很容易的,因为总能找到代替品。

唯独不能让人遗忘的,是199元的押金。

今年3月22日,广东省消委会起诉小鸣单车一案在广州中院开庭,法院当庭宣判。据广东省消委会介绍,截至2017年10月16日,小鸣单车广东省申请退押金的用户数为321681人,已收到押金退款的用户数为271806人。按照法律规定,未收到押金的用户同样是小鸣单车的债权人。

张璐就是一名未获得退还押金和账户余额的小鸣单车用户。作为债权人,他向广州市中级人民法院申请对悦骑公司进行破产清算。今年3月27日,广州中院裁定受理此案,这才有了昨日(7月10日)这次开庭。

尽管退了大部分,但仍有数万名用户押金未退。因为人数众多,他们可通过关注“小鸣单车破产工作信息”微信公众号进行债权申报。

追讨

专门开发微信小程序用于债权申报

昨日,通过竞争方式指定的广东君信律师事务所担任悦骑公司管理人坐在了管理人席位上。

在昨日,管理人也通过“小鸣单车破产工作信息”微信公众号发布了工作报告。工作报告披露了他们调查到的悦骑公司的诸多细节。

报告显示,悦骑公司成立于2016年7月29日,成立时法定代表人是邓永豪,2017年8月23日变更为关某。公司的初始股东为邓永豪和广州恒远投资管理有限公司(邓永豪持股99.99%),后经多次变更,到2018年3月27日即广州中院受理破产申请之日,其注册资金6211949 .00元(即621万元),股东有11个。

据管理人发布的公告,小鸣单车的债权人,除了供应商和服务商外,还有分布在多地的消费者,以及在当地负责运维的、被拖欠了工资的悦骑公司员工。

管理人公告透露,由于消费者在使用小鸣单车时,是通过下载手机A PP进行注册,并通过支付宝、微信一类非传统的支付方式缴纳押金,退还押金也是通过A PP实现。因此,小鸣单车用户债权发生的依据主要是以网络数据的形式存在。另外,小鸣单车运营、调度也依赖在阿里云和腾讯云上的数据,因此对绝大多数申报债权的审查,必须有这些数据作为比对的依据。

但是,由于悦骑公司在2017年10月份之后就不能正常运营,对很多供应商欠款,管理人担心存储在阿里云和腾讯云上的数据会因欠费而丢失。为了做好数据接管工作,管理人聘请了三位相关领域的专家担任技术顾问。

管理人在征询专家意见后,与主办法官分别前往杭州、北京、深圳,了解存放在阿里云和腾讯云中的数据存储情况,但正如管理人所担心的那样,由于欠费,这些数据的存储空间都已被释放,也就是被删除了。

由于大多数债权金额小,人数众多,绝大多数债权人不可能不计成本到广州来申报债权及参加债权人会议,为此,管理人聘请专业团队开发用于债权申报的微信小程序,同时调取、分析悦骑公司移交给管理人的一份建立于2018年3月7日的备份数据。经过初步对比,确认与小鸣单车用户申报的样本数据能够匹配,以这个备份数据作为确认小鸣单车用户债权的依据、利用微信公众号和小程序完成债权申报和审查的设想是可行的。

行动

管理人向法院申请对悦骑公司高管限制出境

据公告透露,管理人向法院申请对悦骑公司法定代表人关某和监事(董事长助理)徐某的限制出境措施。

虽然在破产案件中,对公司高管采取限制出境措施是非常罕见的。但是,管理人表示,在管理人接管时,悦骑公司表面上仅剩关某和徐某两人,甚至连徐某也声称早在2017年8月23日就已辞职。管理人表示,发现悦骑公司通过与广州某公司关联交易损害公司债权人利益的相关证据,在悦骑公司进入破产程序后,关某却曾向法院表示,无论是在悦骑还是在广州某公司均是邓永豪安排的虚职,他对悦骑公司的经营一无所知。

数据

小鸣单车用户申报债权数据:

127040笔

初步确认有效的申报人数是:

118738人

截至2018年6月27日,管理人收到的债权申报数为:小鸣单车用户申报债权127040笔,非小鸣单车用户债权人(小鸣单车的供应商、服务商或合作伙伴)申报的债权28笔。

目前,管理人已对非小鸣单车用户债权人申报的债权完成初步审核,申报债权总额32494548.58元,管理人初步确认的债权为19129702.47元。

对于小鸣单车用户申报的债权,管理人收到的申报总数为127040笔,与管理人接管的备份数据能够匹配的申报是119859笔,其中手机号码重复的851笔,管理人初步确认有效的申报人数是118738人。

公告也透露,根据目前掌握的情况,被拖欠薪资和经济补偿金的职工人数是115人,经济补偿金及欠薪合计1619365.51元。

广州中院还通过摇珠选定了会计师事务所,2018年4月30日,该所接管悦骑公司移交的财务资料,到目前为止,对悦骑公司的审计工作已完成初稿。根据初稿,截至2018年3月31日,悦骑公司总资产审定数为150044100.17元,总负债审定数位216709316.02元,净资产审定数为-66665215.85元。

债权人疑问

什么时候能退还押金?

昨日的债权会议上,管理人表示:“本身这是一个破产案件,既然已经破产了,意味着这是一个不能清偿到期债务并且资产不足以清偿全部债务或者明显缺乏清偿能力的企业,破产了本身已经资不抵债。”

“因此,如果要退款,首先要靠管理人手上有钱,就小鸣单车自身的状况来看,它的资产是散落在各大运营城市当中的小鸣单车,但是这些单车量很大,真正回收的时候是不值钱的。”管理人称。

管理人透露,更重要的还有悦骑公司的关联交易,如果能够通过诉讼追回款项,就还能用于退款,“但我们管理人比较担心,小鸣单车很早以前已经把这些钱转出去了,能追回来的钱有多少,目前还是未知数。”

如果后期追回关联交易的资金,按照什么比例偿还?

对此,管理人表示,押金的清偿顺序问题是包括供应商和未退押金用户的很多债权人关心的问题。“真正争议的焦点在:这个押金的性质是什么。”

有债权人提到,公司原来的法定代表人邓永豪下有一凯路仕公司,他名下的其他财产是否会作为债权的追究的对象?对此,管理人表示,管理人在接管案件时已充分注意到邓永豪及其背后的公司。不过,他透露,凯路仕也已经负债累累。

采写:

南都记者 陈杰生

实习生 周文婷

董晨曦

摄影:

南都记者 陈成效