XTB遭疑黑客入侵致客户巨损，平台责任成焦点

波兰在线经纪商XTB近期疑似遭遇安全事件，一名波兰客户据称因账户被黑客操控交易而损失15万兹罗提（约3.8万美元）。此事件引发业内对零售交易平台安全标准的强烈质疑。

黑客手法与安防缺失

报道称，黑客未直接转账，而是通过在同一低流动性证券上快速执行大量买卖交易套利，清空受害者账户。关键漏洞在于：该客户未启用双重验证（2FA）。更令人担忧的是，攻击中暴露的陌生IP、异常高交易量及与用户习惯不符等明显风险信号，均未触发平台自动干预。XTB解释称“因市场特性，不因交易偏好变化自动设限”，但当日其股价应声暴跌超6%。

平台责任成焦点

网络安全专家直指核心问题：平台不能仅靠用户自觉保障安全。Rootshell Security产品主管贝尔德强调：“在2025年，2FA应成高风险平台的强制措施。用户犯错时平台仍有保护责任。”XTB则辩称适用于支付服务的强认证法规（如PSD2）不涵盖其经纪业务，尽管其CEO曾表示80%新客户投资股票/ETF，并致力打造“金融超级应用”。

调查显示安全短板非XTB独有：Robinhood仅提供可选2FA；Plus500虽强制2FA，但普遍缺乏IP封锁等额外防护。行业多依赖基础欺诈检测与人工审核。NordVPN CTO布雷迪斯批评：“平台优先便利忽视基础安全，出事归咎用户是推卸托管责任。”

虽未确认事件，XTB已紧急升级：

强制2FA（双重验证）： 7月14日起简化选项（短信/验证器），Q4起新用户强制启用，并逐步为存量客户自动开启。

增强监控： 实时比对外泄密码库，建立可疑IP数据库并触发强化验证。