以「交易零手續費」風靡國內美股投資者的 Firstrade ,昨天(2019/09/15)下午五點左右,被發現客戶的聯絡 email 與帳戶姓名被駭客入侵修改。一時間各大投資粉專紛紛互相提醒修改資料,並更新帳戶名稱與密碼。該「事故」(客服的回應是「暫時性的錯誤顯示」)在同日晚上十點半左右「修復」。注意我都用了引號。短短幾個小時,比較可能的做法是「恢復上一動」:資料修復而已。破洞補起來了嗎?合理的推測是還沒。
先來看看首頁被竄改的資料。帳戶名稱被改成了 STEFANOFINDING HACKERONE。表面的意思是一位在 Hackerone工作的人,他的名字是 stefano,他找到了這個漏洞。但是你根本不知道,駭客是 Hackerone,還是隨便一個張三李四王五。更何況,網路搜尋了一下,並沒有看到 Hackerone 的聲明或新聞稿。
擔心嗎?
我不知道這短短的五個小時內,知道這件事情的客戶有什麼感受。你有把自己的身家都押在 Firstrade 嗎?昨天晚上有擔心嗎?雖然 Firstrade 的官網都有寫,它們有加入美國證券投資人保護組織(SIPC),有 25 萬美元的保險。加上額外保險,總額可達 3750 萬,現金上限是 90 萬。但你仔細看,他保障的是「當其中會員倒帳時,SIPC 負責償還該會員或的線金和證券」。如果你的帳戶被偷走了,SIPC 需要賠你嗎?我覺得未必,因為被偷走的是你的帳戶,Firstrade可是沒倒帳啊!
資料來源:Firstrade官網
當然或許有人會批評這家美國券商真是不安全,居然沒有登入就能從後台更改客戶的資料。對方今天不是無法拿走你的帳號,他只是不拿。比起許多加密貨幣交易所都有的兩步驟認證(大部分都用 Google Authenticator),或是信用卡交易時的「傳簡訊到手機號碼再確認」,它真的是個不夠安全的操作介面。就算這次的駭入行動是帳號密碼被盜用好了,該官網的登入 pin 碼是固定而非變動的,而你想得很辛苦的「安全問題及解答」,再重新設定帳號密碼時,根本可以直接選擇「你持有的股票有哪些」的選項而繞過去。總體來說,從 Firstrade 買賣美股,真的有極大的風險。駭客們不是拿不到,只是不拿。
「價差」的意義
這時比起國外,國內的複委託就有巨大的優勢了。帳戶被盜之後,通常【聯絡客服非常多次+客戶負舉證的責任+上法院】是可能的後續流程。這時如果證券行是看得到摸的到,就在你家附近的話,就會沒那麼困擾了。用個簡單的比喻就是,網路買東西雖然方便便宜,但是實體店面買的時候,不論是反應或退換貨,都會方便的太多。這也就是「凡事必有價」的原理。所以我都建議朋友在實體店面買化妝品、名牌包、珠寶,因為這些東西你承擔不起「假貨」的風險。更何況,對【長期買入+持有】的投資者來說,美國券商與複委託的成本並沒有不同。我之前寫過一篇文章計算兩者的差異:《該使用美國券商還是國內複委託?》,請參考。
因應對策
以下是我的建議:
一、認真考慮是否將美國券商的股票移回台灣的複委託帳戶內。每個人的配置與規劃都不同,這個因人而異。
二、雖然資料復原了,還是依據【這一篇】的要點,去把帳號密碼改一下吧。房子都被闖入過了,雖然他可能是從窗戶進來的,但你還是要換門鎖,因為你不知道他有沒有順便打了你的大門鑰匙,以便下次更好進來啊。
三、「投資有風險」這句話,大家往往把它簡化成「股票下跌」,然後輕率的回覆「啊我能承擔啦」。其實風險可多了,你不怕是因為你不知道,不然為什麼年輕人騎機車都那麼敢?這次發生的事情就是最好的例子。你可以設想一下,如果現在你已經 75 歲,正過著「每半年從 firstrade 賣股,轉一萬美元回台灣,享受著長期投資的豐碩回報」的日子。帳戶再次發生駭客入侵事件,無法登入操作,客服一直說「我們在處理中」,懸而未決。這時你會不會後悔,當初應該存一些在台灣的銀行?這也是為什麼,許多家財萬貫的金融從業人員,明明學識淵博,經驗豐富,卻都只買定存商品的道理。
未雨綢繆有時會被當成杞人憂天,如何在這兩端取得平衡,一直是相當困難的課題。希望這篇文章能讓你我多思考一些。
