4月9日���,一則名為“芝麻金融P2P網(wǎng)站數據庫泄露可導致用戶(hù)千萬(wàn)級資金受影響”的漏洞���,通過(guò)了國內互聯(lián)網(wǎng)安全漏洞平臺——烏云網(wǎng)——的后臺審核�����,其中指出“造成逾8000名用戶(hù)資料泄露���,包括用戶(hù)姓名�、身份證號�、手機號��、郵箱�、銀行卡信息等”����,涉及金額高達3000萬(wàn)有余����。
對此�����,芝麻金融的客服人員則向21世紀經(jīng)濟報道記者坦承:“今早業(yè)內數家P2P機構后臺均遭到攻擊�����,很不幸芝麻金融成為了其中的一員��。”
截至發(fā)稿前����,芝麻金融在官網(wǎng)上發(fā)表聲明�����,聲稱(chēng)“機構所有用戶(hù)賬戶(hù)均已綁定第三方資金托管平臺����,未出現任何用戶(hù)資金損失的情況”�。
事實(shí)上���,自2013年P(guān)2P行業(yè)日益火爆以來(lái)�,其遭遇黑客攻擊的頻次亦呈量級增加�。21世紀經(jīng)濟報道記者不完全統計���,自2014年起全國已有逾150家P2P平臺由于黑客攻擊造成系統癱瘓�����、數據惡意篡改等��。
據一不愿具名的知情人士透露��,今年前三個(gè)月����,僅廣州地區便有逾20家P2P平臺遭遇不同程度的黑客攻擊���,“且逾半數平臺在上線(xiàn)一年后需要推倒�����、重新建設其后臺系統��。”
芝麻“被黑”
作為安徽鈺誠控股集團旗下的P2P平臺���,芝麻金融成立于2014年7月16日����,2015年正式開(kāi)展業(yè)務(wù)以及推出拳頭產(chǎn)品——芝麻寶�����。孰料�����,運營(yíng)不過(guò)數月����,便已被黑客“盯上”�。
在芝麻金融CEO靳偉看來(lái)�����,其平臺的基本定位是以“MBA校友圈子”為紐帶�����,以鏈接兩端的資金方與項目方����。為此����,芝麻金融引入了社交圈子擔保人模式�,一旦圈子中的推薦人所推薦的項目通過(guò)審核�,推薦人需擔任項目的擔保人����,同時(shí)支付10%的擔保金���。
然而�,別出心裁的撮合模式��、高凈值的目標人群��,亦難掩部分P2P機構后臺技術(shù)的羸弱����。
據了解�����,芝麻金融并非首次被黑客“攻破”�����,發(fā)現該漏洞的“白帽子”早前已監測到有社工論壇上流傳著(zhù)關(guān)于芝麻金融數據庫的交流和互動(dòng)����,但直至4月9日���,“白帽子”正式在烏云上對此予以披露����,才得以引起市場(chǎng)的廣泛關(guān)注��。
21世紀經(jīng)濟報道記者獲悉�����,只需用人民幣充值兌換積分���,即可在論壇上將該數據庫悉數下載��,而這種發(fā)生在論壇上的“交流”表明��,這份包括逾8000名用戶(hù)個(gè)人信息的數據庫����,已在互聯(lián)網(wǎng)中流傳多時(shí)�����。
烏云網(wǎng)聯(lián)合創(chuàng )始人鄔迪告訴21世紀經(jīng)濟報道����,該漏洞信息已通知廠(chǎng)商����。目前��,芝麻金融已經(jīng)對報告進(jìn)行確認����,并回復稱(chēng)“(漏洞)正在積極處理中”���。
“這并不是第一次P2P領(lǐng)域的數據泄露��,但絕對是規模較大的一次���。”鄔迪如是稱(chēng)����。漏洞信息顯示��,“隨便登錄幾個(gè)賬戶(hù)��,后臺顯示都是10萬(wàn)量級以上的資金����。”
據分析�,從此次泄露數據庫內容來(lái)看�����,并不像是人工整理�,因此拖庫的可能性較大�,即黑客通過(guò)技術(shù)直接下載某平臺的全部數據庫�����。
烏云網(wǎng)聯(lián)合創(chuàng )始人FengGou對記者表示�����,相關(guān)泄露原因與最初發(fā)生時(shí)間尚處于未知狀態(tài)��,但從去年開(kāi)始�,“黑產(chǎn)”(網(wǎng)絡(luò )數據買(mǎi)賣(mài)黑色產(chǎn)業(yè)鏈)便已開(kāi)始關(guān)注P2P建站系統的安全等問(wèn)����。
“本次事件牽涉到的用戶(hù)規模�����、用戶(hù)數據規模尚不算太大��,但目前數據庫或已被其他機構或個(gè)人利用����,則不再是簡(jiǎn)單的漏洞報告�。”FengGou如是稱(chēng)����。
對于一家P2P機構���,發(fā)生此類(lèi)大規模的信息泄漏不免讓人質(zhì)疑其后臺的安全保障系統����。根據芝麻金融官網(wǎng)的介紹:該機構采用國際領(lǐng)先的系統加密及保護技術(shù)����、支付安全套接層協(xié)議和128位加密技術(shù)�����,數據的發(fā)送采用數字簽名技術(shù)來(lái)保證信息以及來(lái)源的不可否認性�。
據FengGou分析�,以上加密技術(shù)就是眾所周知的網(wǎng)站https技術(shù)���,數據備份也只是備份而言�����,屬于最基礎的安全保證技術(shù)�����,對于一家金融P2P機構���,如果以此作為“頂級”的安全保障是不夠的����。
“SSL加密與數字簽名都是標配����,128位加密的使用甚為普遍�����,但無(wú)法解決程序本身的漏洞���。”深圳一P2P后臺技術(shù)人士如是稱(chēng)���。但據記者了解�,目前部分小型P2P平臺仍在使用32位和64位的加密技術(shù)��。
P2P后臺重構
“人在江湖漂�,怎能不挨刀���。”深圳一P2P機構后臺人員對記者笑稱(chēng)��,“行業(yè)都知道���,黑客攻擊無(wú)處不在�����,以此為由勒索網(wǎng)貸平臺的事情常常有之����。”
“不少網(wǎng)貸平臺在創(chuàng )業(yè)階段極度不重視IT后臺系統的建設��,待運行一段時(shí)間后���,后臺團隊才發(fā)現薄弱的網(wǎng)站基礎根本難以承載用戶(hù)��、數據的量級增長(cháng)�。”廣東南方金融創(chuàng )新研究院副會(huì )長(cháng)許世明表示�����。
據一不愿具名的知情人士透露�,今年前三個(gè)月�,僅廣州地區便有逾20家P2P平臺遭遇不同程度的黑客攻擊����,“且逾半數平臺在上線(xiàn)一年后需要推倒�、重新建設其后臺系統���。”
21世紀經(jīng)濟報道記者不完全統計����,自2014年起�����,全國已有逾150家P2P平臺由于黑客攻擊造成系統不同程度的癱瘓�、數據惡意篡改等�。
據介紹�����,黑客攻擊P2P平臺的方式主要有三種:最常見(jiàn)的是DDOS攻擊��,即利用合理的服務(wù)請求來(lái)占用過(guò)多的服務(wù)資源��,從而使用戶(hù)無(wú)法得到系統的響應����。黑客會(huì )通過(guò)DDOS攻擊向服務(wù)器提交大量請求����,使得服務(wù)器運作超負荷��。
其二是CC流量攻擊���,即同一時(shí)間頻繁訪(fǎng)問(wèn)接口�����,導致服務(wù)器間歇性地出現中斷��;而第三種方式則是直接對系統的漏洞予以攻擊����。
“不少P2P機構在初創(chuàng )時(shí)期出于成本壓縮的考慮����,直接購買(mǎi)第三方的IT系統�����,俗稱(chēng)‘買(mǎi)模板’��,只需要數人的團隊即可維持運作����,但安全隱患非常大�����,且官方修補周期慢�����,極容易成為黑客攻擊的目標����。”廣州一P2P風(fēng)控總監如是稱(chēng)���。
據介紹���,從第三方IT系統處購買(mǎi)“模板”的P2P機構���,最容易成為被攻擊的標的����。“因為黑客只需攻破一個(gè)‘模板’�,即可對數個(gè)乃至十數個(gè)的P2P系統平臺發(fā)起攻擊�。”
多位業(yè)內人士對記者表示���,目前中小型的P2P機構中����,花20萬(wàn)-50萬(wàn)“買(mǎi)模板”搭平臺的不在少數�,部分機構的后臺則是外包給第三方機構運營(yíng)���,成本投入約70萬(wàn)-100萬(wàn)��。
