股票被偷了。

有股民反映证券账户被盗，卖出持仓股票，买入次日一字跌停的济民制药。这些股民开户券商不同，但都使用同花顺软件。认为同花顺向黑庄泄露了密码。

对此，同花顺称“网络传言与事实不符”，呼吁用户加强账户安全防范意识，并建议报警处理。

图片来源：证券时报

老南曾券商工作过10年，其中信息技术岗位2年，从个人经验角度，带领大家分析下这个瓜。

当然，最终结论，还是以警方调查结果为准。

2

老南2004年到2006年初，差不多17年前，在券商营业部的信息技术岗，有后台数据库权限。那时候，还整天折腾通讯卫星、数据库、交换机、服务器。

很多人以为，如自己的密码，是“123456”，那在券商的数据库中，也是“123456”这样的明文，其实并不是。

因为监管部门，为了防止监守自盗，早就有券商信息系统安全规定，要求券商数据库中，客户的密码，不得明文。

所以，实际上，你的密码，在数据库中，是一堆乱码，类似“￥%L&C*2(￥”。

别说黑客，即使我们工作人员，能合法进入数据库的，都不知道你密码是什么。

而且，同花顺只是和券商交易系统之间，有个接口，类似一个通道，密码验证都在券商的服务器上，同花顺本身并不储存密码。

所以，同花顺会不会泄露客户手机号，老南不敢打包票。但泄露客户密码，无论是主动还是被动，从技术上看，真做不到。

3

可是，股民的账户，的确被侵入了了，股票也的确被卖掉了。那究竟如何实现的？

老南分析两种可能：1、被黑客撞库（大概率），2、股民故意泄露（小概率）

撞库，是信息安全行业的术语。

很多人习惯用同一密码，在n个地方使用。只要一个地方的密码泄露，就会有专业黑产团队，搜集这些数据，清洗、拼凑，去尝试登陆其他平台，这就叫撞库。

而同花顺，正好是国内市占率最高的股票行情软件，并支持登陆n家券商交易系统，当然是最方便的撞库工具。

因为这次事件，涉及的账户并不多，所以很可能是庄家要出货，然后买了批信息，自行操作。

所以，避免被撞库的最好方法，就是每个平台，设置不一样的密码。如搜狐的，sohu123456，新浪的，sina123456。

当然，这里的确也有个问题，对于客户，以非常用设备、非常用地区，登录交易系统，是否应该有短信验证码之类的二次验证？

4

至于故意泄露，嗯，你没看错，先从一个“产品”说起。

这是前阵子，老南看到，北京某财富公司，推广的所谓“产品”：

简单的说，就是股民出借自己的账户，并打入100万以上的资金，给别人操作。财富公司承诺保本，并给10%的收益，超过部分再4:6分。

这种，在老南看来，不就是找人傻钱多的接盘侠嘛。

出借账户本身，就是违反《证券法》的，也是监管长期严厉打击的。而且，真接了个庄家要出货的票，亏钱了，找谁去？

有人说，那还可以，让对方在自己账户打保证金啊，亏也亏他的钱。

来，第二个案例：

老南一朋友，某券商营业部老总，最近发给老南的，他客户的巨亏的案例（朋友也是性情中人，实在看不下去这种明摆着的低端骗局）：

客户出借自己账户，给某知名配资公司，配资公司出25%作为保证金，客户出75%。约定亏20%平仓，并给客户，一年12%的收益。

很安全吧？就开开心心几千万投进去。

这么大一块肥肉，谁会客气？直接送给要出货的庄家，保证金亏没了，本金还亏了一大半。都是之前策划好的。

想闹？不怕，有白纸黑字的协议在，报案都没法报，只能打断牙齿咽到肚子里。

这种，签合同的那一刻，就注定了被骗的命运，就是找你接盘去的。其他的都是钩子而已。

聊天记录里的这句话，请大家再读几遍：

主力为了出货，无所不用其极，多条腿走路，想尽办法出货，不择手段。

来，欣赏下这个1年多，拉了6倍的庄股，开头提到的济民制药：

话说回来，之后庄家怎么出货，值得围观。

结

这次济民制药这事，闹大了，其实也是好事，监管部门、公安部门齐下手，相信挖出真相，不会太遥远，毕竟大数据时代，盗窃账户干这事，真是非常愚蠢的行为。

但你也要谨慎，保护好自己的密码，保护好自己的账户，远离看上去无懈可击的赚钱机会。

记住，主力为了出货，无所不用其极。

-END-