声称XTB被黑事件突显散户交易风险：双重身份验证成为保护资金的最低标准

最近的XTB安全漏洞事件被称造成一位波兰客户损失大约150,000兹罗提（约合38,000美元），引发了关于2025年CFD经纪商和散户交易平台的可选安全措施是否足够的激烈讨论。

在此次事件中，黑客 reportedly 执行了数千笔快速交易以清空客户的账户，网络安全专家呼吁金融公司在保护客户资产方面进行根本性的变革。

事实证明，XTB案并不是个例，提到散户交易公司时，“你可以相信这一点”并不总是正确的。

现代金融黑客的剖析

黑客并没有尝试直接转账，因为这只能在经过验证的账户上执行，而是对低流动性证券进行了同时的买卖交易，在一侧持续获利的同时逐步抽取受害者的XTB账户资金。这位客户没有启用双重身份验证（2FA），这一细节成为更广泛安全讨论的核心。

“双重身份验证不仅仅是推荐，它是必须的。即使是最复杂的密码也仍然是一个单点故障。一个简单的密码加上强制的双重身份验证要比强迫用户使用复杂密码而他们最终会把密码写下来要安全得多，”Matworks的创始人兼CEO Mate Ivanszky评论道。

让人特别担忧的是明显缺乏自动化欺诈检测。此次攻击显示了多个应当触发即时安全响应的红旗：不熟悉的IP地址、异常高的交易量以及与客户历史模式完全不一致的行为。

如果一个交易者通常每月执行两到三次操作，却在一天内突然执行数百次，系统应该能够捕捉到这一点。然而，XTB却持有不同观点，引用市场的特殊性作为其解释。

“由于市场性质及投资决策的快速性，我们不会根据投资者偏好的变化，施加基于变化的自动限制，例如启动不同工具的交易，”XTB的公关部门解释道。

股东们似乎持有不同意见，XTB的股价在同一天下跌超过6%，触及三个月以来的低点。

专家共识：可选安全措施已不再可接受

Rootshell Security的产品负责人Jon Bellard认为，此事件暴露了现代金融科技安全中的基本漏洞。“虽然用户未启用双重身份验证明显是一个风险因素，但像XTB这样的平台有责任在用户犯错误时保护他们，”他说。“在2025年，仅提供双重身份验证是不够的，这应该是强制的，尤其对于高风险平台。”

尽管双重身份验证在今天看似法律要求，XTB解释却表示这并不总是如此：“PSD2法规和支付服务法适用于提供支付服务的公司，而不是像XTB这样的经纪公司。因此，只有我们由DiPocket提供的电子钱包支付服务适用这些法规，我们在2024年8月实施了强身份验证。”

这强调出经纪活动不面临与传统银行服务相同的强制安全要求，尽管它们涉及类似的财务风险。

不过，XTB的CEO在接受FinanceMagnates.com采访时指出，80%的新客户投资于股票和ETF，而不是CFD。他还重申了XTB成为“全能金融超级应用”的抱负。鉴于这向更银行化服务的转变，公司难道不应该优先考虑更强的安全措施吗？

行业标准的混杂景象

虽然XTB的做法似乎令人质疑，但CFD经纪商和散户交易应用的安全标准在行业内依然不一致。现实是，许多平台实施的安全措施并没有显著高于XTB的原始设置，这提示这是一个行业范围内的挑战，而不是个体的问题。

FinanceMagnates.com已经核实，Robinhood也仅提供可选的双重身份验证。尽管Plus500要求启用双重身份验证，但在其他保护措施上，如IP封锁或地理限制，通常都缺乏。无论是大型上市经纪商还是聚焦于散户交易的金融科技公司，大多数平台主要依赖于欺诈检测系统、登录警报和人工审查。

“当被信任处理客户资金时，安全性不应是用户的责任，”NordVPN的首席技术官Marijus Breidis评论道。“行为风险检测应该默认启用，而不应埋在设置菜单中。平台将便利性置于基本安全之上，然后在不可避免的事情发生时责怪客户。这种做法是不负责任的，完全放弃了保护客户资产的责任。”

Ivanszky同意他的观点，补充说受监管的金融机构有明确和可执行的责任来保障客户资金。“这种责任始于确保客户账户的访问得到正确验证，并持续覆盖到可能影响这些资金的安全或处置的每一笔交易。”

XTB未确认事件，但加强安全措施

XTB既不确认也不否认发生过此类事件，但强调尚未发生过任何涉及启用了双重身份验证的客户的类似漏洞。

此外，在公众强烈反对之后，XTB可能会比行业标准更安全。该公司的新闻办公室概述了其目前的方法：“在最近几周，我们已经显著简化并扩展了双重身份验证。扩展测试已经完成，自7月14日起，客户将有两个选项：短信验证码或身份验证器应用。”

该公司还将开始为现有客户自动启用双重身份验证，并且自2025年第四季度起，所有新用户都将被要求启用它。公司还引入了额外的监控系统。

“我们不断监控网上发布的密码泄露信息，并与我们的数据库进行交叉检查。如果找到匹配项，我们会通知客户更改密码，”发言人表示。“我们还建立并继续扩展我们的可疑IP地址内部数据库，来自这些位置的登录将触发增强的安全协议。”