導(dǎo)讀
對(duì)于一家P2P機(jī)構(gòu),發(fā)生此類大規(guī)模的信息泄漏不免讓人質(zhì)疑其后臺(tái)的安全保障系統(tǒng)。根據(jù)芝麻金融官網(wǎng)的介紹:該機(jī)構(gòu)采用國(guó)際領(lǐng)先的系統(tǒng)加密及保護(hù)技術(shù)、支付安全套接層協(xié)議和128位加密技術(shù),數(shù)據(jù)的發(fā)送采用數(shù)字簽名技術(shù)來(lái)保證信息以及來(lái)源的不可否認(rèn)性。
4月9日,一則名為“芝麻金融P2P網(wǎng)站數(shù)據(jù)庫(kù)泄露可導(dǎo)致用戶千萬(wàn)級(jí)資金受影響”的漏洞,通過(guò)了國(guó)內(nèi)互聯(lián)網(wǎng)安全漏洞平臺(tái)——烏云網(wǎng)——的后臺(tái)審核,其中指出“造成逾8000名用戶資料泄露,包括用戶姓名、身份證號(hào)、手機(jī)號(hào)、郵箱、銀行卡信息等”,涉及金額高達(dá)3000萬(wàn)有余。
對(duì)此,芝麻金融的客服人員則向21世紀(jì)經(jīng)濟(jì)報(bào)道記者坦承:“今早業(yè)內(nèi)數(shù)家P2P機(jī)構(gòu)后臺(tái)均遭到攻擊,很不幸芝麻金融成為了其中的一員。”
截至發(fā)稿前,芝麻金融在官網(wǎng)上發(fā)表聲明,聲稱“機(jī)構(gòu)所有用戶賬戶均已綁定第三方資金托管平臺(tái),未出現(xiàn)任何用戶資金損失的情況”。
事實(shí)上,自2013年P(guān)2P行業(yè)日益火爆以來(lái),其遭遇黑客攻擊的頻次亦呈量級(jí)增加。21世紀(jì)經(jīng)濟(jì)報(bào)道記者不完全統(tǒng)計(jì),自2014年起全國(guó)已有逾150家P2P平臺(tái)由于黑客攻擊造成系統(tǒng)癱瘓、數(shù)據(jù)惡意篡改等。
據(jù)一不愿具名的知情人士透露,今年前三個(gè)月,僅廣州地區(qū)便有逾20家P2P平臺(tái)遭遇不同程度的黑客攻擊,“且逾半數(shù)平臺(tái)在上線一年后需要推倒、重新建設(shè)其后臺(tái)系統(tǒng)。”
芝麻“被黑”
作為安徽鈺誠(chéng)控股集團(tuán)旗下的P2P平臺(tái),芝麻金融成立于2014年7月16日,2015年正式開展業(yè)務(wù)以及推出拳頭產(chǎn)品——芝麻寶。孰料,運(yùn)營(yíng)不過(guò)數(shù)月,便已被黑客“盯上”。
在芝麻金融CEO靳偉看來(lái),其平臺(tái)的基本定位是以“MBA校友圈子”為紐帶,以鏈接兩端的資金方與項(xiàng)目方。為此,芝麻金融引入了社交圈子擔(dān)保人模式,一旦圈子中的推薦人所推薦的項(xiàng)目通過(guò)審核,推薦人需擔(dān)任項(xiàng)目的擔(dān)保人,同時(shí)支付10%的擔(dān)保金。
然而,別出心裁的撮合模式、高凈值的目標(biāo)人群,亦難掩部分P2P機(jī)構(gòu)后臺(tái)技術(shù)的羸弱。
據(jù)了解,芝麻金融并非首次被黑客“攻破”,發(fā)現(xiàn)該漏洞的“白帽子”早前已監(jiān)測(cè)到有社工論壇上流傳著關(guān)于芝麻金融數(shù)據(jù)庫(kù)的交流和互動(dòng),但直至4月9日,“白帽子”正式在烏云上對(duì)此予以披露,才得以引起市場(chǎng)的廣泛關(guān)注。
21世紀(jì)經(jīng)濟(jì)報(bào)道記者獲悉,只需用人民幣充值兌換積分,即可在論壇上將該數(shù)據(jù)庫(kù)悉數(shù)下載,而這種發(fā)生在論壇上的“交流”表明,這份包括逾8000名用戶個(gè)人信息的數(shù)據(jù)庫(kù),已在互聯(lián)網(wǎng)中流傳多時(shí)。
烏云網(wǎng)聯(lián)合創(chuàng)始人鄔迪告訴21世紀(jì)經(jīng)濟(jì)報(bào)道,該漏洞信息已通知廠商。目前,芝麻金融已經(jīng)對(duì)報(bào)告進(jìn)行確認(rèn),并回復(fù)稱“(漏洞)正在積極處理中”。
“這并不是第一次P2P領(lǐng)域的數(shù)據(jù)泄露,但絕對(duì)是規(guī)模較大的一次。”鄔迪如是稱。漏洞信息顯示,“隨便登錄幾個(gè)賬戶,后臺(tái)顯示都是10萬(wàn)量級(jí)以上的資金。”
據(jù)分析,從此次泄露數(shù)據(jù)庫(kù)內(nèi)容來(lái)看,并不像是人工整理,因此拖庫(kù)的可能性較大,即黑客通過(guò)技術(shù)直接下載某平臺(tái)的全部數(shù)據(jù)庫(kù)。
烏云網(wǎng)聯(lián)合創(chuàng)始人FengGou對(duì)記者表示,相關(guān)泄露原因與最初發(fā)生時(shí)間尚處于未知狀態(tài),但從去年開始,“黑產(chǎn)”(網(wǎng)絡(luò)數(shù)據(jù)買賣黑色產(chǎn)業(yè)鏈)便已開始關(guān)注P2P建站系統(tǒng)的安全等問(wèn)。
“本次事件牽涉到的用戶規(guī)模、用戶數(shù)據(jù)規(guī)模尚不算太大,但目前數(shù)據(jù)庫(kù)或已被其他機(jī)構(gòu)或個(gè)人利用,則不再是簡(jiǎn)單的漏洞報(bào)告。”FengGou如是稱。
對(duì)于一家P2P機(jī)構(gòu),發(fā)生此類大規(guī)模的信息泄漏不免讓人質(zhì)疑其后臺(tái)的安全保障系統(tǒng)。根據(jù)芝麻金融官網(wǎng)的介紹:該機(jī)構(gòu)采用國(guó)際領(lǐng)先的系統(tǒng)加密及保護(hù)技術(shù)、支付安全套接層協(xié)議和128位加密技術(shù),數(shù)據(jù)的發(fā)送采用數(shù)字簽名技術(shù)來(lái)保證信息以及來(lái)源的不可否認(rèn)性。
據(jù)FengGou分析,以上加密技術(shù)就是眾所周知的網(wǎng)站https技術(shù),數(shù)據(jù)備份也只是備份而言,屬于最基礎(chǔ)的安全保證技術(shù),對(duì)于一家金融P2P機(jī)構(gòu),如果以此作為“頂級(jí)”的安全保障是不夠的。
“SSL加密與數(shù)字簽名都是標(biāo)配,128位加密的使用甚為普遍,但無(wú)法解決程序本身的漏洞。”深圳一P2P后臺(tái)技術(shù)人士如是稱。但據(jù)記者了解,目前部分小型P2P平臺(tái)仍在使用32位和64位的加密技術(shù)。
P2P后臺(tái)重構(gòu)
“人在江湖漂,怎能不挨刀。”深圳一P2P機(jī)構(gòu)后臺(tái)人員對(duì)記者笑稱,“行業(yè)都知道,黑客攻擊無(wú)處不在,以此為由勒索網(wǎng)貸平臺(tái)的事情常常有之。”
“不少網(wǎng)貸平臺(tái)在創(chuàng)業(yè)階段極度不重視IT后臺(tái)系統(tǒng)的建設(shè),待運(yùn)行一段時(shí)間后,后臺(tái)團(tuán)隊(duì)才發(fā)現(xiàn)薄弱的網(wǎng)站基礎(chǔ)根本難以承載用戶、數(shù)據(jù)的量級(jí)增長(zhǎng)。”廣東南方金融創(chuàng)新研究院副會(huì)長(zhǎng)許世明表示。
據(jù)一不愿具名的知情人士透露,今年前三個(gè)月,僅廣州地區(qū)便有逾20家P2P平臺(tái)遭遇不同程度的黑客攻擊,“且逾半數(shù)平臺(tái)在上線一年后需要推倒、重新建設(shè)其后臺(tái)系統(tǒng)。”
21世紀(jì)經(jīng)濟(jì)報(bào)道記者不完全統(tǒng)計(jì),自2014年起,全國(guó)已有逾150家P2P平臺(tái)由于黑客攻擊造成系統(tǒng)不同程度的癱瘓、數(shù)據(jù)惡意篡改等。
據(jù)介紹,黑客攻擊P2P平臺(tái)的方式主要有三種:最常見的是DDOS攻擊,即利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源,從而使用戶無(wú)法得到系統(tǒng)的響應(yīng)。黑客會(huì)通過(guò)DDOS攻擊向服務(wù)器提交大量請(qǐng)求,使得服務(wù)器運(yùn)作超負(fù)荷。
其二是CC流量攻擊,即同一時(shí)間頻繁訪問(wèn)接口,導(dǎo)致服務(wù)器間歇性地出現(xiàn)中斷;而第三種方式則是直接對(duì)系統(tǒng)的漏洞予以攻擊。
“不少P2P機(jī)構(gòu)在初創(chuàng)時(shí)期出于成本壓縮的考慮,直接購(gòu)買第三方的IT系統(tǒng),俗稱‘買模板’,只需要數(shù)人的團(tuán)隊(duì)即可維持運(yùn)作,但安全隱患非常大,且官方修補(bǔ)周期慢,極容易成為黑客攻擊的目標(biāo)。”廣州一P2P風(fēng)控總監(jiān)如是稱。
據(jù)介紹,從第三方IT系統(tǒng)處購(gòu)買“模板”的P2P機(jī)構(gòu),最容易成為被攻擊的標(biāo)的。“因?yàn)楹诳椭恍韫テ埔粋€(gè)‘模板’,即可對(duì)數(shù)個(gè)乃至十?dāng)?shù)個(gè)的P2P系統(tǒng)平臺(tái)發(fā)起攻擊。”
多位業(yè)內(nèi)人士對(duì)記者表示,目前中小型的P2P機(jī)構(gòu)中,花20萬(wàn)-50萬(wàn)“買模板”搭平臺(tái)的不在少數(shù),部分機(jī)構(gòu)的后臺(tái)則是外包給第三方機(jī)構(gòu)運(yùn)營(yíng),成本投入約70萬(wàn)-100萬(wàn)。