4月9日,一則名為“芝麻金融P2P網站數據庫泄露可導致用戶千萬級資金受影響”的漏洞,通過了國內互聯網安全漏洞平臺——烏云網——的后臺審核���,其中指出“造成逾8000名用戶資料泄露��,包括用戶姓名、身份證號�、手機號��、郵箱、銀行卡信息等”,涉及金額高達3000萬有余。
對此�����,芝麻金融的客服人員則向21世紀經濟報道記者坦承:“今早業內數家P2P機構后臺均遭到攻擊����,很不幸芝麻金融成為了其中的一員����。”
截至發稿前,芝麻金融在官網上發表聲明��,聲稱“機構所有用戶賬戶均已綁定第三方資金托管平臺��,未出現任何用戶資金損失的情況”�����。
事實上,自2013年P2P行業日益火爆以來�,其遭遇黑客攻擊的頻次亦呈量級增加���。21世紀經濟報道記者不完全統計��,自2014年起全國已有逾150家P2P平臺由于黑客攻擊造成系統癱瘓、數據惡意篡改等�����。
據一不愿具名的知情人士透露��,今年前三個月����,僅廣州地區便有逾20家P2P平臺遭遇不同程度的黑客攻擊��,“且逾半數平臺在上線一年后需要推倒��、重新建設其后臺系統。”
芝麻“被黑”
作為安徽鈺誠控股集團旗下的P2P平臺�����,芝麻金融成立于2014年7月16日��,2015年正式開展業務以及推出拳頭產品——芝麻寶。孰料,運營不過數月,便已被黑客“盯上”�����。
在芝麻金融CEO靳偉看來�,其平臺的基本定位是以“MBA校友圈子”為紐帶,以鏈接兩端的資金方與項目方。為此,芝麻金融引入了社交圈子擔保人模式,一旦圈子中的推薦人所推薦的項目通過審核,推薦人需擔任項目的擔保人,同時支付10%的擔保金���。
然而,別出心裁的撮合模式、高凈值的目標人群��,亦難掩部分P2P機構后臺技術的羸弱����。
據了解�����,芝麻金融并非首次被黑客“攻破”,發現該漏洞的“白帽子”早前已監測到有社工論壇上流傳著關于芝麻金融數據庫的交流和互動,但直至4月9日��,“白帽子”正式在烏云上對此予以披露�����,才得以引起市場的廣泛關注����。
21世紀經濟報道記者獲悉����,只需用人民幣充值兌換積分,即可在論壇上將該數據庫悉數下載����,而這種發生在論壇上的“交流”表明,這份包括逾8000名用戶個人信息的數據庫,已在互聯網中流傳多時。
烏云網聯合創始人鄔迪告訴21世紀經濟報道�,該漏洞信息已通知廠商����。目前,芝麻金融已經對報告進行確認��,并回復稱“(漏洞)正在積極處理中”�����。
“這并不是第一次P2P領域的數據泄露�����,但絕對是規模較大的一次。”鄔迪如是稱。漏洞信息顯示,“隨便登錄幾個賬戶��,后臺顯示都是10萬量級以上的資金�����。”
據分析���,從此次泄露數據庫內容來看�,并不像是人工整理��,因此拖庫的可能性較大��,即黑客通過技術直接下載某平臺的全部數據庫。
烏云網聯合創始人FengGou對記者表示�����,相關泄露原因與最初發生時間尚處于未知狀態�,但從去年開始�,“黑產”(網絡數據買賣黑色產業鏈)便已開始關注P2P建站系統的安全等問。
“本次事件牽涉到的用戶規模���、用戶數據規模尚不算太大,但目前數據庫或已被其他機構或個人利用����,則不再是簡單的漏洞報告�。”FengGou如是稱����。
對于一家P2P機構,發生此類大規模的信息泄漏不免讓人質疑其后臺的安全保障系統��。根據芝麻金融官網的介紹:該機構采用國際領先的系統加密及保護技術����、支付安全套接層協議和128位加密技術,數據的發送采用數字簽名技術來保證信息以及來源的不可否認性�。
據FengGou分析�,以上加密技術就是眾所周知的網站https技術����,數據備份也只是備份而言��,屬于最基礎的安全保證技術,對于一家金融P2P機構�����,如果以此作為“頂級”的安全保障是不夠的���。
“SSL加密與數字簽名都是標配��,128位加密的使用甚為普遍,但無法解決程序本身的漏洞����。”深圳一P2P后臺技術人士如是稱��。但據記者了解,目前部分小型P2P平臺仍在使用32位和64位的加密技術���。
P2P后臺重構
“人在江湖漂,怎能不挨刀���。”深圳一P2P機構后臺人員對記者笑稱,“行業都知道,黑客攻擊無處不在,以此為由勒索網貸平臺的事情常常有之。”
“不少網貸平臺在創業階段極度不重視IT后臺系統的建設,待運行一段時間后�����,后臺團隊才發現薄弱的網站基礎根本難以承載用戶�、數據的量級增長。”廣東南方金融創新研究院副會長許世明表示����。
據一不愿具名的知情人士透露��,今年前三個月,僅廣州地區便有逾20家P2P平臺遭遇不同程度的黑客攻擊�,“且逾半數平臺在上線一年后需要推倒�、重新建設其后臺系統����。”
21世紀經濟報道記者不完全統計,自2014年起���,全國已有逾150家P2P平臺由于黑客攻擊造成系統不同程度的癱瘓、數據惡意篡改等���。
據介紹,黑客攻擊P2P平臺的方式主要有三種:最常見的是DDOS攻擊��,即利用合理的服務請求來占用過多的服務資源�����,從而使用戶無法得到系統的響應。黑客會通過DDOS攻擊向服務器提交大量請求��,使得服務器運作超負荷�����。
其二是CC流量攻擊��,即同一時間頻繁訪問接口,導致服務器間歇性地出現中斷;而第三種方式則是直接對系統的漏洞予以攻擊。
“不少P2P機構在初創時期出于成本壓縮的考慮��,直接購買第三方的IT系統�����,俗稱‘買模板’���,只需要數人的團隊即可維持運作�����,但安全隱患非常大,且官方修補周期慢,極容易成為黑客攻擊的目標。”廣州一P2P風控總監如是稱。
據介紹,從第三方IT系統處購買“模板”的P2P機構,最容易成為被攻擊的標的��。“因為黑客只需攻破一個‘模板’�,即可對數個乃至十數個的P2P系統平臺發起攻擊。”
多位業內人士對記者表示����,目前中小型的P2P機構中����,花20萬-50萬“買模板”搭平臺的不在少數,部分機構的后臺則是外包給第三方機構運營,成本投入約70萬-100萬。
