本篇文章2439字,读完约6分钟
黑客们正在关注p2p技术的漏洞。芝麻街财经惊讶于数据库泄漏门
引导阅读
对于一个p2p组织来说,这种大规模的信息泄露不可避免地会让人对其后台安全系统产生质疑。据芝麻金融官方网站介绍,该机构采用国际领先的系统加密和保护技术、支付安全套接层协议和128位加密技术,并采用数字签名技术确保信息和来源的不可否认性。
本报记者吴朱志超从北京和深圳发回报道
4月9日,国内互联网安全漏洞平台Wuyun.com通过了“芝麻金融p2p网站数据库泄露会影响用户数千万资金”的背景审计,指出“泄露了8000多用户数据,包括用户名、身份证号码、手机号码、电子邮件地址、银行卡信息等。”,涉及3000多万元。
对此,芝麻金融的客服人员向《21世纪经济报道》记者承认:“今天上午,行业内几个p2p机构在后台遭到攻击,不幸的是,芝麻金融成为其中之一。”
截至发稿时,芝麻金融在官方网站上发表声明,称“该机构所有用户账户均已绑定到第三方基金托管平台,用户资金没有损失。”
事实上,自从p2p行业在2013年变得越来越流行以来,黑客攻击的频率也增加了一个数量级。据《21世纪经济报道》记者的不完全统计,自2014年以来,中国已有150多个p2p平台因黑客攻击而遭受系统瘫痪和恶意数据篡改。
据一位不愿透露姓名的知情人士透露,今年前三个月,仅广州就有20多个p2p平台遭到不同程度的黑客攻击。“超过一半的平台需要在发布一年后推倒重建。”
芝麻被“熏黑”
作为安徽禹城控股集团旗下的p2p平台,芝麻金融成立于2014年7月16日。2015年,它正式推出了自己的业务,并推出了旗舰产品——芝麻宝贝。出人意料的是,仅仅运营了几个月,它就成了黑客的目标。
据芝麻金融首席执行官金伟(音译)介绍,该平台的基本定位是连接“mba校友圈”,将两端的资助方和项目方联系起来。为此,芝麻金融引入了社交圈担保人模式。圈内推荐人推荐的项目一旦通过审核,推荐人应作为项目的担保人,同时支付10%的保证金。
然而,巧妙的匹配模式和高净值目标群体很难掩盖一些p2p机构后台技术的弱点。
据了解,芝麻金融并不是第一次被黑客“攻破”。发现漏洞的“白帽”早些时候已经监控了社会工作论坛上流传的关于芝麻金融数据库的交流和互动。然而,直到4月9日,“白帽子”在乌云密布的情况下正式披露,才吸引了市场的广泛关注。
《21世纪经济报道》记者了解到,该数据库只有通过充值人民币才能在论坛上完整下载,而这种在论坛上的“交流”表明,这个包含8000多名用户个人信息的数据库已经在互联网上流传了很长时间。
Wuyun.com联合创始人吴迪在接受《21世纪经济报道》采访时表示,该公司已被告知该漏洞信息。目前,芝麻金融已经证实了该报告,并答复说“(漏洞)正在积极处理中”。
“这不是p2p领域的第一次数据泄露,但肯定是一次更大的泄露。”吴笛说。漏洞信息显示“只需登录几个账户,后台显示的是超过10万的资金。”
据分析,泄露的数据库内容看起来不像是手工排序,所以更有可能是拖拽数据库,即黑客通过技术直接下载某个平台的所有数据库。
五云的联合创始人冯沟。com告诉记者,相关泄密的原因和最初发生时间仍不清楚,但从去年开始,“黑色产品”(黑色产业链的网络数据交易)已经开始关注p2p网站建设系统的安全性。
“此事件涉及的用户和用户数据规模并不太大,但当前的数据库已被其他机构或个人使用,不再是简单的漏洞报告。”冯沟是这么说的。
对于一个p2p组织来说,这种大规模的信息泄露不可避免地会让人对其后台安全系统产生质疑。据芝麻金融官方网站介绍,该机构采用国际领先的系统加密和保护技术、支付安全套接层协议和128位加密技术,并采用数字签名技术确保信息和来源的不可否认性。
根据峰沟的分析,上述加密技术是众所周知的网站https技术,而数据备份只是备份,属于最基本的安全保障技术。对于一个金融p2p机构来说,将其作为“顶级”安全保障是不够的。
ssl加密和数字签名是标准的,128位加密被广泛使用,但它不能解决程序本身的漏洞。深圳的一位p2p背景技术人员说。然而,据记者报道,一些小型p2p平台仍然使用32位和64位加密技术。
P2p背景重建
"人在江河湖海中漂流,怎能不被刀砍?"深圳一家p2p机构的后台工作人员嘲笑了记者。“业内人士都知道,黑客攻击无处不在,在这种情况下,经常会有一些东西敲诈在线贷款平台。”
“许多网上贷款平台并不太重视创业阶段的it后台系统建设。经过一段时间的运营,后台团队发现薄弱的网站基础难以承载用户和数据的增长。”广东南方金融创新研究院副院长徐世明说。
据一位不愿透露姓名的知情人士透露,今年前三个月,仅广州就有20多个p2p平台遭到不同程度的黑客攻击。“超过一半的平台需要在发布一年后推倒重建。”
据《21世纪经济报道》记者不完全统计,自2014年以来,中国已有150多个p2p平台因黑客攻击而遭受系统瘫痪和恶意数据篡改。
据介绍,黑客攻击p2p平台主要有三种方式:ddos攻击是最常见的一种,即利用合理的服务请求占用过多的服务资源,使用户无法得到系统响应。黑客将通过ddos攻击向服务器提交大量请求,这将使服务器的运行过载。
二是cc流量攻击,即同时频繁访问接口导致服务器间歇性中断;第三种方法是直接攻击系统的漏洞。
“许多p2p组织直接购买第三方it系统,通常称为‘购买模板’,目的是在初始阶段降低成本。它只需要几个人的团队来维护运行,但是安全风险很大,正式的维修周期也很慢。很容易成为黑客攻击的目标。”广州p2p风险控制总监表示。
据报道,从第三方it系统购买“模板”的p2p组织是最容易被攻击的目标。“因为黑客只需要突破一个‘模板’,他们就可以攻击几个甚至十几个p2p系统平台。”
很多业内人士告诉记者,在中小型p2p机构中,不少人花20-50万“购买模板”搭建平台,而一些机构的后台业务外包给第三方机构运营,成本投资约70-100万。