据经济之声《天下公司》报道,国内互联网安全漏洞平台乌云网又爆猛料了,这次的受害者是P2P平台网站芝麻金融。乌云网的报告指出:芝麻金融数据库泄露,可能导致千万级用户资金受影响。
不久之前,有乌云网的“白帽子”发现社工论坛上流传着关于芝麻金融数据库的交流和互动。这些数据包括用户姓名、身份证号、手机号、邮箱、银行卡信息等”,一共有超过逾8千名用户的资料,只需用人民币充值兑换积分,即可在论坛上将这些数据全部下载。
“白帽子”利用这些泄露数据做了测试后发现,全部都能成功登陆,并且很多账户内有几十万资金,加起来超过3千万。更可怕的是,这些账号资料已经在网上流传开来。
芝麻金融方面坦承他们的后台遭到黑客攻击,同时又在官网上发表声明,声称“机构所有用户账户均已绑定第三方资金托管平台,未出现任何用户资金损失的情况”。芝麻金融的客服也也一再表示,客户完全可以放心:
芝麻金融:我们平台的账号和资金账户是严格分离的,所有用户的资金都是由国家认证的第三方平台托管,也就是双乾支付来确保资金安全。我们的交易是可靠安全的,我们的技术人员对我们数据库也进行了加密处理,您可以放心。
芝麻金融是安徽钰诚控股集团旗下的P2P平台,成立于2014年7月16日,2015年正式开展业务并推出主打产品——芝麻宝。然而,运营不过几个月,就被黑客盯上了。
事实上,自从2013年P2P行业日益火爆以来,相关公司遭遇黑客攻击的频率就大幅增加。据不完全统计,自2014年起,全国已有超过150家P2P平台由于黑客攻击造成系统瘫痪、数据恶意篡改等。
去年3月,P2P网贷信息交流与服务平台网贷天眼遭遇黑客袭击,造成网络访问困难,一度无法打开页面。。网贷天眼副总裁袁涛接受采访时候表示,黑客攻击的流量非常大,攻击手段多变,和可能是专业团队干的。
据了解,面对黑客的勒索,80%的P2P平台都会选择妥协。但网贷天眼最终在自己的官网首页挂出了一份“关于抵制黑客恶意攻击及敲诈勒索”的声明。
据介绍,黑客攻击P2P平台的方式主要有三种:最常见的是DDOS攻击,也就是利用合理的服务请求来占用过多的服务资源,从而让用户无法得到系统的响应。黑客会通过DDOS攻击向服务器提交大量请求,使得服务器运作超负荷。第二种方式是CC流量攻击,就是在同一时间频繁访问接口,导致服务器间歇性地出现中断;而第三种方式则是直接对系统的漏洞予以攻击。
有分析认为,从芝麻金融这次泄露数据库内容来看,并不像是人工整理,因此拖库攻击的可能性较大,也就是黑客通过技术直接下载某平台的全部数据库。乌云网联合创始人孟卓说,他们现在还无法判断到底是什么原因造成了芝麻金融的用户资料外泄。
乌云网方面证实,目前,芝麻金融已经对他们的漏洞报告进行了确认,并回复称“(漏洞)正在积极处理中”。但孟卓表示,他们并不能主动让“白帽子”去验证这个漏洞是否真的已经补上。
一位P2P业内人士透露,不少P2P机构在初创时期出于成本压缩的考虑,直接购买第三方的IT系统,俗称‘买模板’,只需要数人的团队即可维持运作,安全隐患非常大,官方修补周期慢,极容易成为黑客攻击的目标。
目前中小型的P2P机构中,花20万-50万“买模板”搭平台的不在少数,部分机构的后台则是外包给第三方机构运营,成本投入约70万-100万。P2P行业资深观察者汤浔芳表示,P2P平台遭黑客攻击的现象需要引起高度警觉:
汤浔芳:去年他们就有被攻击的情况,但是媒体的关注并不多,需要加强P2P平台的管理,黑客通常都是出于经济目的去攻击P2P平台,很多P2P都有客户的银行账户信息,这些信息泄漏以后,对用户资金安全肯定不利。