4月9日,一則名為“芝麻金融P2P網(wǎng)站數(shù)據(jù)庫泄露可導致用戶千萬級資金受影響”的漏洞。
   
 您當前的位置 : 財經(jīng)股市>

黑客盯上P2P技術漏洞 芝麻金融驚現(xiàn)數(shù)據(jù)庫泄露門

海口網(wǎng) http://6chong.cn 時間:2015-04-10 10:28

  4月9日,一則名為“芝麻金融P2P網(wǎng)站數(shù)據(jù)庫泄露可導致用戶千萬級資金受影響”的漏洞,通過了國內(nèi)互聯(lián)網(wǎng)安全漏洞平臺—烏云網(wǎng)—的后臺審核,其中指出“造成逾8000名用戶資料泄露,包括用戶姓名、身份證號、手機號、郵箱、銀行卡信息等”,涉及金額高達3000萬有余。

  對此,芝麻金融的客服人員則向21世紀經(jīng)濟報道記者坦承:“今早業(yè)內(nèi)數(shù)家P2P機構后臺均遭到攻擊,很不幸芝麻金融成為了其中的一員?!?/p>

  截至發(fā)稿前,芝麻金融在官網(wǎng)上發(fā)表聲明,聲稱“機構所有用戶賬戶均已綁定第三方資金托管平臺,未出現(xiàn)任何用戶資金損失的情況”。

  事實上,自2013年P2P行業(yè)日益火爆以來,其遭遇黑客攻擊的頻次亦呈量級增加。21世紀經(jīng)濟報道記者不完全統(tǒng)計,自2014年起全國已有逾150家P2P平臺由于黑客攻擊造成系統(tǒng)癱瘓、數(shù)據(jù)惡意篡改等。

  據(jù)一不愿具名的知情人士透露,今年前三個月,僅廣州地區(qū)便有逾20家P2P平臺遭遇不同程度的黑客攻擊,“且逾半數(shù)平臺在上線一年后需要推倒、重新建設其后臺系統(tǒng)?!?/p>

  芝麻“被黑”

  作為安徽鈺誠控股集團旗下的P2P平臺,芝麻金融成立于2014年7月16日,2015年正式開展業(yè)務以及推出拳頭產(chǎn)品—芝麻寶。孰料,運營不過數(shù)月,便已被黑客“盯上”。

  在芝麻金融CEO靳偉看來,其平臺的基本定位是以“MBA校友圈子”為紐帶,以鏈接兩端的資金方與項目方。為此,芝麻金融引入了社交圈子擔保人模式,一旦圈子中的推薦人所推薦的項目通過審核,推薦人需擔任項目的擔保人,同時支付10%的擔保金。

  然而,別出心裁的撮合模式、高凈值的目標人群,亦難掩部分P2P機構后臺技術的羸弱。

  據(jù)了解,芝麻金融并非首次被黑客“攻破”,發(fā)現(xiàn)該漏洞的“白帽子”早前已監(jiān)測到有社工論壇上流傳著關于芝麻金融數(shù)據(jù)庫的交流和互動,但直至4月9日,“白帽子”正式在烏云上對此予以披露,才得以引起市場的廣泛關注。

  21世紀經(jīng)濟報道記者獲悉,只需用人民幣充值兌換積分,即可在論壇上將該數(shù)據(jù)庫悉數(shù)下載,而這種發(fā)生在論壇上的“交流”表明,這份包括逾8000名用戶個人信息的數(shù)據(jù)庫,已在互聯(lián)網(wǎng)中流傳多時。

  烏云網(wǎng)聯(lián)合創(chuàng)始人鄔迪告訴21世紀經(jīng)濟報道,該漏洞信息已通知廠商。目前,芝麻金融已經(jīng)對報告進行確認,并回復稱“(漏洞)正在積極處理中”。


  “這并不是第一次P2P領域的數(shù)據(jù)泄露,但絕對是規(guī)模較大的一次?!编w迪如是稱。漏洞信息顯示,“隨便登錄幾個賬戶,后臺顯示都是10萬量級以上的資金?!?/p>

  據(jù)分析,從此次泄露數(shù)據(jù)庫內(nèi)容來看,并不像是人工整理,因此拖庫的可能性較大,即黑客通過技術直接下載某平臺的全部數(shù)據(jù)庫。

  烏云網(wǎng)聯(lián)合創(chuàng)始人FengGou對記者表示,相關泄露原因與最初發(fā)生時間尚處于未知狀態(tài),但從去年開始,“黑產(chǎn)”(網(wǎng)絡數(shù)據(jù)買賣黑色產(chǎn)業(yè)鏈)便已開始關注P2P建站系統(tǒng)的安全等問。

  “本次事件牽涉到的用戶規(guī)模、用戶數(shù)據(jù)規(guī)模尚不算太大,但目前數(shù)據(jù)庫或已被其他機構或個人利用,則不再是簡單的漏洞報告?!盕engGou如是稱。

  對于一家P2P機構,發(fā)生此類大規(guī)模的信息泄漏不免讓人質(zhì)疑其后臺的安全保障系統(tǒng)。根據(jù)芝麻金融官網(wǎng)的介紹:該機構采用國際領先的系統(tǒng)加密及保護技術、支付安全套接層協(xié)議和128位加密技術,數(shù)據(jù)的發(fā)送采用數(shù)字簽名技術來保證信息以及來源的不可否認性。

  據(jù)FengGou分析,以上加密技術就是眾所周知的網(wǎng)站https技術,數(shù)據(jù)備份也只是備份而言,屬于最基礎的安全保證技術,對于一家金融P2P機構,如果以此作為“頂級”的安全保障是不夠的。

  “SSL加密與數(shù)字簽名都是標配,128位加密的使用甚為普遍,但無法解決程序本身的漏洞?!鄙钲谝籔2P后臺技術人士如是稱。但據(jù)記者了解,目前部分小型P2P平臺仍在使用32位和64位的加密技術。

  P2P后臺重構

  “人在江湖漂,怎能不挨刀?!鄙钲谝籔2P機構后臺人員對記者笑稱,“行業(yè)都知道,黑客攻擊無處不在,以此為由勒索網(wǎng)貸平臺的事情常常有之?!?/p>

  “不少網(wǎng)貸平臺在創(chuàng)業(yè)階段極度不重視IT后臺系統(tǒng)的建設,待運行一段時間后,后臺團隊才發(fā)現(xiàn)薄弱的網(wǎng)站基礎根本難以承載用戶、數(shù)據(jù)的量級增長。”廣東南方金融創(chuàng)新研究院副會長許世明表示。

  據(jù)一不愿具名的知情人士透露,今年前三個月,僅廣州地區(qū)便有逾20家P2P平臺遭遇不同程度的黑客攻擊,“且逾半數(shù)平臺在上線一年后需要推倒、重新建設其后臺系統(tǒng)?!?/p>

  21世紀經(jīng)濟報道記者不完全統(tǒng)計,自2014年起,全國已有逾150家P2P平臺由于黑客攻擊造成系統(tǒng)不同程度的癱瘓、數(shù)據(jù)惡意篡改等。

  據(jù)介紹,黑客攻擊P2P平臺的方式主要有三種:最常見的是DDOS攻擊,即利用合理的服務請求來占用過多的服務資源,從而使用戶無法得到系統(tǒng)的響應。黑客會通過DDOS攻擊向服務器提交大量請求,使得服務器運作超負荷。

  其二是CC流量攻擊,即同一時間頻繁訪問接口,導致服務器間歇性地出現(xiàn)中斷;而第三種方式則是直接對系統(tǒng)的漏洞予以攻擊。

  “不少P2P機構在初創(chuàng)時期出于成本壓縮的考慮,直接購買第三方的IT系統(tǒng),俗稱"買模板",只需要數(shù)人的團隊即可維持運作,但安全隱患非常大,且官方修補周期慢,極容易成為黑客攻擊的目標?!睆V州一P2P風控總監(jiān)如是稱。

  據(jù)介紹,從第三方IT系統(tǒng)處購買“模板”的P2P機構,最容易成為被攻擊的標的?!耙驗楹诳椭恍韫テ埔粋€"模板",即可對數(shù)個乃至十數(shù)個的P2P系統(tǒng)平臺發(fā)起攻擊?!?/p>

  多位業(yè)內(nèi)人士對記者表示,目前中小型的P2P機構中,花20萬-50萬“買模板”搭平臺的不在少數(shù),部分機構的后臺則是外包給第三方機構運營,成本投入約70萬-100萬。

?

?

?

相關鏈接:

P2P再創(chuàng)新高:3月成交量近500億元
地產(chǎn)商控制P2P平臺非法吸儲崩盤 涉案金額超9億
P2P租車真的零風險? 車輛被抵押后追回難
易P2P年度盤點之2014十大P2P網(wǎng)貸平臺“出色”人物
五大P2P模式之優(yōu)劣
P2P行業(yè)平安夜前不平安 當天12家平臺提現(xiàn)困難或暫停運營
相關鏈接:
五大P2P模式之優(yōu)劣
易P2P年度盤點之2014十大P2P網(wǎng)貸平臺“出色”人物
P2P租車真的零風險? 車輛被抵押后追回難
地產(chǎn)商控制P2P平臺非法吸儲崩盤 涉案金額超9億
P2P再創(chuàng)新高:3月成交量近500億元
[來源:新京報] [作者:] [編輯:楊雨霞 實習生 陳嘉乙]
版權聲明:

·凡注明來源為“??诰W(wǎng)”的所有文字、圖片、音視頻、美術設計等作品,版權均屬海口網(wǎng)所有。未經(jīng)本網(wǎng)書面授權,不得進行一切形式的下載、轉載或建立鏡像。

·凡注明為其它來源的信息,均轉載自其它媒體,轉載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和對其真實性負責。

圖解??谝恢軣崧劊汉?谌請蠛?诰W(wǎng)入駐“新京號”
圖解??谝恢軣崧剕多彩節(jié)目,點亮繽紛假期!
圖解海口一周熱聞:??谛履暌魳窌⒂?024年1月1日舉辦
圖解??谝恢軣崧劊汉?谡胁乓菍稣\意攬才受熱捧
圖解??谝恢軣崧劊汉?讷@評國家食品安全示范城市
災后重建看變化·復工復產(chǎn)
圓滿中秋
勇立潮頭踏浪行
“發(fā)現(xiàn)??谥馈睌z影大賽
     
     
     
排行
 
旅客注意!??诿捞m機場T2值機柜臺17日起調(diào)整
尋舊日時光 ??诓糠帜贻p人熱衷“淘”老物件
海口:云洞襯晚霞 美景入眼中
嗨游活力???樂享多彩假日
??冢撼鞘猩v煙火氣 夜間消費活力足
??冢洪L假不停歇 工地建設忙
市民游客在??诙冗^美好假期
2023“??诒狈悾ň①悾┗盍﹂_賽
海口天空之山驛站:晚照醉人
千年福地尋玉兔 共慶??谧钪星?/a>
 
|
|
 
     6chong.cn All Rights Reserved      
??诰W(wǎng)版權所有 未經(jīng)書面許可不得復制或轉載
互聯(lián)網(wǎng)新聞信息服務許可證:46120210010
違法和不良信息舉報電話: 0898—66822333  舉報郵箱:jb66822333@163.com

網(wǎng)絡內(nèi)容從業(yè)人員違法違規(guī)行為舉報郵箱:jb66822333@126.com

瓊公網(wǎng)安備 46010602000160號

  瓊ICP備2023008284號-1
中國互聯(lián)網(wǎng)舉報中心