您好,欢迎访问三七文档
当前位置:首页 > 临时分类 > 黑客盯上P2P技术漏洞 知名企业惊现数据库泄露门【网融宝】
4月9日,一则名为“芝麻金融P2P网站数据库泄露可导致用户千万级资金受影响”的漏洞,通过了国内互联网安全漏洞平台——乌云网——的后台审核,其中指出“造成逾8000名用户资料泄露,包括用户姓名、身份证号、手机号、邮箱、银行卡信息等”,涉及金额高达3000万有余。对此,芝麻金融的客服人员向记者坦承:“今早业内数家P2P机构后台均遭到攻击,很不幸芝麻金融成为了其中的一员。”对一家P2P机构来说,发生此类大规模的信息泄漏不免让人质疑其后台的安全保障系统。根据芝麻金融官网的介绍:该机构采用国际领先的系统加密及保护技术、支付安全套接层协议和128位加密技术,数据的发送采用数字签名技术来保证信息以及来源的不可否认性。但截至发稿前,芝麻金融仍在官网上发表声明,声称“机构所有用户账户均已绑定第三方资金托管平台,未出现任何用户资金损失的情况”。事实上,自2013年P2P行业日益火爆以来,其遭遇黑客攻击的频次亦呈量级增加。据不完全统计显示,自2014年起全国已有逾150家P2P平台由于黑客攻击造成系统瘫痪、数据恶意篡改等。据知情人士透露,今年前三个月,仅广州地区便有逾20家P2P平台遭遇不同程度的黑客攻击,“且逾半数平台在上线一年后需要推倒、重新建设其后台系统。”芝麻“被黑”芝麻金融成立于2014年7月16日,2015年正式开展业务以及推出拳头产品——芝麻宝。孰料,运营不过数月,便已被黑客“盯上”。在芝麻金融CEO靳伟看来,其平台的基本定位是以“MBA校友圈子”为纽带,以链接两端的资金方与项目方。为此,芝麻金融引入了社交圈子担保人模式,一旦圈子中的推荐人所推荐的项目通过审核,推荐人需担任项目的担保人,同时支付10%的担保金。然而,别出心裁的撮合模式、高净值的目标人群,亦难掩部分P2P机构后台技术的羸弱。据了解,芝麻金融并非首次被黑客“攻破”,发现该漏洞的“白帽子”早前已监测到有社工论坛上流传着关于芝麻金融数据库的交流和互动,但直至4月9日,“白帽子”正式在乌云上对此予以披露,才得以引起市场的广泛关注。记者获悉,只需用人民币充值兑换积分,即可在论坛上将该数据库悉数下载,而这种发生在论坛上的“交流”表明,这份包括逾8000名用户个人信息的数据库,已在互联网中流传多时。有业内人士告诉记者,该漏洞信息已通知厂商。目前,芝麻金融已经对报告进行确认,并回复称“(漏洞)正在积极处理中”。“这并不是第一次P2P领域的数据泄露,但绝对是规模较大的一次。”业内人士如是称。漏洞信息显示,“随便登录几个账户,后台显示都是10万量级以上的资金。”据分析,从此次泄露数据库内容来看,并不像是人工整理,因此拖库的可能性较大,即黑客通过技术直接下载某平台的全部数据库。有企业创始人对记者表示,相关泄露原因与最初发生时间尚处于未知状态,但从去年开始,“黑产”(网络数据买卖黑色产业链)便已开始关注P2P建站系统的安全等问。“本次事件牵涉到的用户规模、用户数据规模尚不算太大,但目前数据库或已被其他机构或个人利用,则不再是简单的漏洞报告。”他说。此外,以上企业创始人还分析说,芝麻金融所说的加密技术就是众所周知的网站https技术,数据备份也只是备份而言,属于最基础的安全保证技术,对于一家金融P2P机构,如果以此作为“顶级”的安全保障是不够的。“SSL加密与数字签名都是标配,128位加密的使用甚为普遍,但无法解决程序本身的漏洞。”深圳一P2P后台技术人士如是称。但据记者了解,目前部分小型P2P平台仍在使用32位和64位的加密技术。P2P后台重构据知情人士透露,今年前三个月,仅广州地区便有逾20家P2P平台遭遇不同程度的黑客攻击,“且逾半数平台在上线一年后需要推倒、重新建设其后台系统。”而据有效数据统计,自2014年起,全国已有逾150家P2P平台由于黑客攻击造成系统不同程度的瘫痪、数据恶意篡改等。有介绍说,黑客攻击P2P平台的方式主要有三种:最常见的是DDOS攻击,即利用合理的服务请求来占用过多的服务资源,从而使用户无法得到系统的响应。黑客会通过DDOS攻击向服务器提交大量请求,使得服务器运作超负荷。其二是CC流量攻击,即同一时间频繁访问接口,导致服务器间歇性地出现中断;而第三种方式则是直接对系统的漏洞予以攻击。“不少P2P机构在初创时期出于成本压缩的考虑,直接购买第三方的IT系统,俗称买模板,只需要数人的团队即可维持运作,但安全隐患非常大,且官方修补周期慢,极容易成为黑客攻击的目标。”广州一P2P风控总监如是称。据介绍,从第三方IT系统处购买“模板”的P2P机构,最容易成为被攻击的标的。“因为黑客只需攻破一个模板,即可对数个乃至十数个的P2P系统平台发起攻击。”多位业内人士对记者表示,目前中小型的P2P机构中,花20万-50万“买模板”搭平台的不在少数,部分机构的后台则是外包给第三方机构运营,成本投入约70万-100万。网融宝类似网站
本文标题:黑客盯上P2P技术漏洞 知名企业惊现数据库泄露门【网融宝】
链接地址:https://www.777doc.com/doc-3872723 .html