私募基金行业有一句话是圈内人都知道的——路演日就是情报日。为什么这么说?因为一家私募基金的路演,不仅是募资渠道,更是向市场暴露自身投资策略、持仓结构、未来布局的一个窗口。谁能在路演现场拿到对手的真实信息,谁就可能在下一轮市场博弈中占据主动权。今天我想聊的这件事情,发生在2023年底的深圳。
深圳一家管理规模超过两百亿的私募基金,我们叫它深圳华锐资本。2023年12月,华锐资本在福田区一家五星级酒店的宴会厅举办了一场面向合格投资者的闭门路演,现场来了大概八十位高净值客户和机构代表。路演的主题是2024年大类资产配置策略,内容包括了华锐资本对A股、港股、美股、债券和大宗商品的详细研判,以及公司旗下几只重点产品的持仓调整方向。
这场路演按规定是不允许录音录像的,入场时每位参会者都要签署保密协议,手机摄像头也要贴上遮挡贴纸。酒店宴会厅本身配有一套无线会议系统,包括主席台话筒和几个无线手持麦克风,供路演嘉宾和问答环节使用。华锐资本的人觉得,既然设备是酒店自己的,又是无线会议系统,应该不会有什么问题。
但他们没想到的是,这套无线会议系统存在一个致命的漏洞。
宴会厅使用的是一套2.4G频段的无线会议话筒系统,酒店采购后没有更改过默认的管理密码。这在技术上意味着什么?意味着任何一个在场的人,只要手机安装了对应的App,登录管理后台默认密码,就可以通过手机直接控制这套会议系统。这不仅仅是开机或者调音量那么简单——这套系统的手机端管理工具本身就附带远程录音功能,可以用作会议纪要的辅助录制。但这个功能一旦被恶意激活,就变成了最隐蔽的窃听工具。
当天下午的实际情况是,星锐资本的参会人群中混进了一个某竞品私募机构的人。这个人在入场后就打开了手机上的会议系统管理App,轻松登录了默认密码,然后开启了远程录音功能。接下来的一个半小时,整场路演——从基金经理对宏观经济数据的拆解分析,到投资总监对明年仓位配置的具体安排,再到问答环节中客户对持仓策略的追问——全部被录制下来,通过酒店的无线网络实时传输到了这个人的手机上。
更值得警惕的是,因为这套录音是通过会议系统本身的管理功能来实现的,酒店的无线话筒在工作时本来就有指示灯,现场安保人员完全没有察觉任何异常。话筒的指示灯一直正常亮着,谁也不会想到真正的窃听源头是藏在管理后台里的那一个开关。
这条泄密链路非常清晰。硬件层面,酒店会议系统存在默认密码未修改的安全隐患。操作层面,竞品机构提前获取了路演信息和酒店安排,做了功课。技术层面,通过手机App远程激活,不需要在会场放置任何物理窃听设备,事后不留痕迹。信息层面,路演中涉及的持仓调整和策略布局属于基金公司的核心商业机密,一旦被对手掌握,可能造成数千万量级的交易成本损失。
这件事给我们什么警示?第一,无线会议系统不是"安全"的代名词。所有联网设备都有被远程操控的可能,尤其是那些默认密码没有修改、固件没有更新的设备。第二,在涉及核心商业信息的场合,应该使用有线会议系统或者经过加密处理的专用通讯设备。第三,如果必须使用外部场地提供的无线系统,应该在会前由技术人员做一次全面检测,包括检查管理后台密码、固件版本、以及是否有非授权的远程管理端口开启。第四,路演或者闭门会议的安保措施不能只盯着物理层面的录音录像,还要把无线信号层面的窃听风险纳入考虑。
华锐资本事后发现的损失有多大?竞争对手在他们路演结束后的第二周就调整了相关产品的持仓方向,节奏和华锐资本的路演内容高度吻合。虽然没有确凿证据证明损失的直接因果关系,但华锐资本内部评估认为,这次窃听给公司带来的潜在交易成本损失至少在两千万元以上。而这一切的起点,不过是一个默认密码没改的酒店会议话筒。
