XTB遭疑黑客入侵致客戶巨損，平台責任成焦點

波蘭在線經紀商XTB近期疑似遭遇安全事件，一名波蘭客戶據稱因賬戶被黑客操控交易而損失15萬茲羅提（約3.8萬美元）。此事件引發業內對零售交易平臺安全標準的強烈質疑。

黑客手法與安防缺失

報道稱，黑客未直接轉賬，而是通過在同一低流動性證券上快速執行大量買賣交易套利，清空受害者賬戶。關鍵漏洞在于：該客戶未啟用雙重驗證（2FA）。更令人擔憂的是，攻擊中暴露的陌生IP、異常高交易量及與用戶習慣不符等明顯風險信號，均未觸發平臺自動干預。XTB解釋稱“因市場特性，不因交易偏好變化自動設限”，但當日其股價應聲暴跌超6%。

平臺責任成焦點

網絡安全專家直指核心問題：平臺不能僅靠用戶自覺保障安全。Rootshell Security產品主管貝爾德強調：“在2025年，2FA應成高風險平臺的強制措施。用戶犯錯時平臺仍有保護責任。”XTB則辯稱適用于支付服務的強認證法規（如PSD2）不涵蓋其經紀業務，盡管其CEO曾表示80%新客戶投資股票/ETF，并致力打造“金融超級應用”。

調查顯示安全短板非XTB獨有：Robinhood僅提供可選2FA；Plus500雖強制2FA，但普遍缺乏IP封鎖等額外防護。行業多依賴基礎欺詐檢測與人工審核。NordVPN CTO布雷迪斯批評：“平臺優先便利忽視基礎安全，出事歸咎用戶是推卸托管責任。”

雖未確認事件，XTB已緊急升級：

強制2FA（雙重驗證）： 7月14日起簡化選項（短信/驗證器），Q4起新用戶強制啟用，并逐步為存量客戶自動開啟。

增強監控： 實時比對外泄密碼庫，建立可疑IP數據庫并觸發強化驗證。