4月9日��,一則名為“芝麻金融P2P網(wǎng)站數(shù)據(jù)庫泄露可導致用戶千萬級資金受影響”的漏洞����,通過了國內(nèi)互聯(lián)網(wǎng)安全漏洞平臺——烏云網(wǎng)——的后臺審核��,其中指出“造成逾8000名用戶資料泄露��,包括用戶姓名�、身份證號����、手機號、郵箱��、銀行卡信息等”�����,涉及金額高達3000萬有余。
對此��,芝麻金融的客服人員則向21世紀經(jīng)濟報道記者坦承:“今早業(yè)內(nèi)數(shù)家P2P機構(gòu)后臺均遭到攻擊���,很不幸芝麻金融成為了其中的一員���。”
截至發(fā)稿前,芝麻金融在官網(wǎng)上發(fā)表聲明��,聲稱“機構(gòu)所有用戶賬戶均已綁定第三方資金托管平臺���,未出現(xiàn)任何用戶資金損失的情況”����。
事實上�����,自2013年P(guān)2P行業(yè)日益火爆以來�,其遭遇黑客攻擊的頻次亦呈量級增加。21世紀經(jīng)濟報道記者不完全統(tǒng)計�,自2014年起全國已有逾150家P2P平臺由于黑客攻擊造成系統(tǒng)癱瘓、數(shù)據(jù)惡意篡改等��。
據(jù)一不愿具名的知情人士透露�,今年前三個月,僅廣州地區(qū)便有逾20家P2P平臺遭遇不同程度的黑客攻擊�,“且逾半數(shù)平臺在上線一年后需要推倒、重新建設(shè)其后臺系統(tǒng)�。”
芝麻“被黑”
作為安徽鈺誠控股集團旗下的P2P平臺,芝麻金融成立于2014年7月16日����,2015年正式開展業(yè)務以及推出拳頭產(chǎn)品——芝麻寶。孰料��,運營不過數(shù)月�����,便已被黑客“盯上”���。
在芝麻金融CEO靳偉看來��,其平臺的基本定位是以“MBA校友圈子”為紐帶�����,以鏈接兩端的資金方與項目方�����。為此�����,芝麻金融引入了社交圈子擔保人模式�,一旦圈子中的推薦人所推薦的項目通過審核,推薦人需擔任項目的擔保人��,同時支付10%的擔保金�。
然而,別出心裁的撮合模式��、高凈值的目標人群��,亦難掩部分P2P機構(gòu)后臺技術(shù)的羸弱���。
據(jù)了解��,芝麻金融并非首次被黑客“攻破”�,發(fā)現(xiàn)該漏洞的“白帽子”早前已監(jiān)測到有社工論壇上流傳著關(guān)于芝麻金融數(shù)據(jù)庫的交流和互動,但直至4月9日�����,“白帽子”正式在烏云上對此予以披露�,才得以引起市場的廣泛關(guān)注��。
21世紀經(jīng)濟報道記者獲悉�����,只需用人民幣充值兌換積分�����,即可在論壇上將該數(shù)據(jù)庫悉數(shù)下載�,而這種發(fā)生在論壇上的“交流”表明,這份包括逾8000名用戶個人信息的數(shù)據(jù)庫����,已在互聯(lián)網(wǎng)中流傳多時。
烏云網(wǎng)聯(lián)合創(chuàng)始人鄔迪告訴21世紀經(jīng)濟報道����,該漏洞信息已通知廠商。目前,芝麻金融已經(jīng)對報告進行確認���,并回復稱“(漏洞)正在積極處理中”�。
“這并不是第一次P2P領(lǐng)域的數(shù)據(jù)泄露�,但絕對是規(guī)模較大的一次。”鄔迪如是稱�。漏洞信息顯示,“隨便登錄幾個賬戶�,后臺顯示都是10萬量級以上的資金。”
據(jù)分析����,從此次泄露數(shù)據(jù)庫內(nèi)容來看,并不像是人工整理����,因此拖庫的可能性較大,即黑客通過技術(shù)直接下載某平臺的全部數(shù)據(jù)庫�。
烏云網(wǎng)聯(lián)合創(chuàng)始人FengGou對記者表示,相關(guān)泄露原因與最初發(fā)生時間尚處于未知狀態(tài)�,但從去年開始,“黑產(chǎn)”(網(wǎng)絡(luò)數(shù)據(jù)買賣黑色產(chǎn)業(yè)鏈)便已開始關(guān)注P2P建站系統(tǒng)的安全等問��。
“本次事件牽涉到的用戶規(guī)模����、用戶數(shù)據(jù)規(guī)模尚不算太大�����,但目前數(shù)據(jù)庫或已被其他機構(gòu)或個人利用����,則不再是簡單的漏洞報告�����。”FengGou如是稱�。
對于一家P2P機構(gòu)�,發(fā)生此類大規(guī)模的信息泄漏不免讓人質(zhì)疑其后臺的安全保障系統(tǒng)。根據(jù)芝麻金融官網(wǎng)的介紹:該機構(gòu)采用國際領(lǐng)先的系統(tǒng)加密及保護技術(shù)��、支付安全套接層協(xié)議和128位加密技術(shù)���,數(shù)據(jù)的發(fā)送采用數(shù)字簽名技術(shù)來保證信息以及來源的不可否認性���。
據(jù)FengGou分析,以上加密技術(shù)就是眾所周知的網(wǎng)站https技術(shù)�����,數(shù)據(jù)備份也只是備份而言,屬于最基礎(chǔ)的安全保證技術(shù)�,對于一家金融P2P機構(gòu),如果以此作為“頂級”的安全保障是不夠的��。
“SSL加密與數(shù)字簽名都是標配�����,128位加密的使用甚為普遍�����,但無法解決程序本身的漏洞��。”深圳一P2P后臺技術(shù)人士如是稱��。但據(jù)記者了解�����,目前部分小型P2P平臺仍在使用32位和64位的加密技術(shù)����。
P2P后臺重構(gòu)
“人在江湖漂���,怎能不挨刀。”深圳一P2P機構(gòu)后臺人員對記者笑稱��,“行業(yè)都知道�,黑客攻擊無處不在,以此為由勒索網(wǎng)貸平臺的事情常常有之��。”
“不少網(wǎng)貸平臺在創(chuàng)業(yè)階段極度不重視IT后臺系統(tǒng)的建設(shè)�,待運行一段時間后,后臺團隊才發(fā)現(xiàn)薄弱的網(wǎng)站基礎(chǔ)根本難以承載用戶����、數(shù)據(jù)的量級增長���。”廣東南方金融創(chuàng)新研究院副會長許世明表示���。
據(jù)一不愿具名的知情人士透露,今年前三個月��,僅廣州地區(qū)便有逾20家P2P平臺遭遇不同程度的黑客攻擊����,“且逾半數(shù)平臺在上線一年后需要推倒����、重新建設(shè)其后臺系統(tǒng)���。”
21世紀經(jīng)濟報道記者不完全統(tǒng)計�,自2014年起��,全國已有逾150家P2P平臺由于黑客攻擊造成系統(tǒng)不同程度的癱瘓���、數(shù)據(jù)惡意篡改等���。
據(jù)介紹,黑客攻擊P2P平臺的方式主要有三種:最常見的是DDOS攻擊�����,即利用合理的服務請求來占用過多的服務資源�����,從而使用戶無法得到系統(tǒng)的響應���。黑客會通過DDOS攻擊向服務器提交大量請求����,使得服務器運作超負荷。
其二是CC流量攻擊�,即同一時間頻繁訪問接口,導致服務器間歇性地出現(xiàn)中斷��;而第三種方式則是直接對系統(tǒng)的漏洞予以攻擊����。
“不少P2P機構(gòu)在初創(chuàng)時期出于成本壓縮的考慮,直接購買第三方的IT系統(tǒng)�,俗稱‘買模板’,只需要數(shù)人的團隊即可維持運作�,但安全隱患非常大,且官方修補周期慢��,極容易成為黑客攻擊的目標����。”廣州一P2P風控總監(jiān)如是稱����。
據(jù)介紹,從第三方IT系統(tǒng)處購買“模板”的P2P機構(gòu)����,最容易成為被攻擊的標的���。“因為黑客只需攻破一個‘模板’,即可對數(shù)個乃至十數(shù)個的P2P系統(tǒng)平臺發(fā)起攻擊��。”
多位業(yè)內(nèi)人士對記者表示�����,目前中小型的P2P機構(gòu)中���,花20萬-50萬“買模板”搭平臺的不在少數(shù)��,部分機構(gòu)的后臺則是外包給第三方機構(gòu)運營����,成本投入約70萬-100萬�。
