駭客攻擊P2P敲詐勒索 設計缺陷或致平臺擔責
- 發佈時間:2015-09-23 09:26:31 來源:東方網 責任編輯:畢曉娟
密碼重置漏洞、數據庫配置錯誤、登陸邏輯錯誤……這些可能造成用戶資訊洩露、影響資金安全的漏洞,在P2P行業是“常客”。
近日,國內知名網際網路漏洞曝光平臺烏雲網發佈的一份P2P平臺漏洞報告顯示:自2014年至今,烏雲網收到的有關P2P行業漏洞總數為402個,僅2015年上半年就有235個,上半年就比去年一年增長了40.7%。
密碼重置漏洞最普遍
烏雲網P2P漏洞報告顯示,P2P平臺最常見的漏洞類型包括支付漏洞、密碼重置、訪問控制等,其中,密碼重置佔到60%。
“所謂密碼重置,簡單來説,就是攻擊者拿著自己密碼重置的憑證重置了別的密碼。”烏雲網創始人方小頓補充指出,密碼重置是很多常見漏洞的起因,例如把明文密碼通過郵件發送給用戶,攻擊者可以接收到密碼重置資訊。有的廠商由於設計缺陷,重置其他用戶的密碼不需要知道用戶郵箱收到的具體URL,可以直接拼湊出重置其他用戶密碼的URL進行密碼重置。
今年7月,烏雲網曝光的“翼龍貸漏洞禮包”顯示,通過找回密碼,抓包可以看到用戶的郵箱、餘額、手機號、ID等敏感資訊,利用郵箱和ID,就可以重置用戶的密碼。
而這種情況不僅存在於翼龍貸,在烏雲網搜索可發現,金海貸、和信貸、拍拍貸、有利網等多家P2P平臺均存在密碼重置漏洞問題。
“由於成本受限,目前行業自主開發系統軟體的平臺數量不多。部分P2P平臺是基於共同的模板搭建的,代碼基本是抄襲的,當安全漏洞存在時,這些P2P平臺往往也都會中槍。”中國人民大學網路犯罪與安全研究中心秘書長謝君澤在接受法治週末記者採訪時表示,其實密碼重置漏洞不只在P2P平臺普遍,在網際網路廠商存在的漏洞問題中也屬於比較普遍的。
法治週末記者注意到,51offer、虎嗅網、驢媽媽等網際網路廠商均曾被烏雲網曝光存在可重置任意用戶密碼的漏洞。
對此,烏雲網建議開發人員在開發的過程中,應該注意“保證Cookie等可以重置密碼的憑證與用戶之間的對應關係”。
駭客攻擊P2P敲詐勒索
烏雲網此前發佈的報告指出,截至2014年年底,已有近165家P2P平臺由於遭受駭客攻擊造成系統癱瘓,每天都有平臺因為駭客攻擊而面臨倒閉。
世界反駭客組織的最新通報也顯示,中國P2P平臺已經成為全世界駭客宰割的羔羊,已有多起駭客盜取P2P平臺現金的案例發生。
在今年年初,就有數家平臺遭遇駭客攻擊。例如,1月,紅嶺創投網站遭遇駭客攻擊,網站一度停擺,並且狀況持續數個小時;2月初,深圳P2P平臺珠寶貸因受駭客偷襲網站中斷12個小時以上。
而引起業內對駭客攻擊更為關注的事件,是今年6月中旬三家網貸平臺同時遭受駭客攻擊。
6月15日,深圳P2P平臺信融財富發佈公告稱,其官網遭到惡意流量攻擊,造成網站無法訪問。幾乎是在信融財富遭到惡意攻擊的同時,另外兩家P2P平臺寶點網和立業貸也遭到了大規模駭客攻擊。
值得注意的是,在上述三家遭遇駭客攻擊的平台中,有兩家平臺在“遇襲”前剛獲得融資。其中,信融財富於6月6日獲得香港上市公司普惠中金6000萬元投資;而寶點網則在6月9日宣佈完成3000萬美元A輪融資。
據悉,網名為“DK”的駭客曾在攻擊平臺時向信融財富客服發消息宣稱,“我們封了你們的網站,通知你們老闆聯繫我們”。
“駭客攻擊P2P平臺的目的往往是竊取資訊、資金獲利,大部分是想敲詐平臺。”第三方網際網路金融研究機構棕櫚樹有關分析人員指出,P2P平臺受到攻擊的一個嚴重後果是引起投資者擔憂,遭遇駭客攻擊的平臺會被認為不安全而失去部分投資人,而如果發生大量投資人擠兌,還可能引發平臺危機。
設計缺陷或致平臺擔責
依據侵權責任法相關規定,損害是因第三人造成的,第三人應當承擔侵權責任。
“駭客攻擊P2P平臺並不意味著其攻擊投資者的投資項目,如果駭客僅僅攻擊P2P平臺,投資者的資金安全不會受到威脅。對於個人資訊洩露的風險而言,應由駭客承擔侵權責任。”重慶大學法學院教授齊愛民認為。
侵權責任法第36條規定,網路用戶、網路服務提供者利用網路侵害他人民事權益的,應當承擔侵權責任。網路用戶利用網路服務實施侵權行為的,被侵權人有權通知網路服務提供者採取刪除、遮罩、斷開連結等必要措施。網路服務提供者接到通知後未及時採取必要措施的,對損害的擴大部分與該網路用戶承擔連帶責任。
“駭客攻擊平臺致使客戶受到侵害的,首先應當由駭客承擔責任;客戶在通知平臺採取必要的措施後,如果平臺沒有採取必要措施,那麼平臺與駭客就損害的擴大部分承擔連帶責任。”齊愛民補充道。
法治週末記者則在上述烏雲網P2P漏洞報告中注意到,密碼重置漏洞、登陸邏輯錯誤等漏洞很多是由平臺設計缺陷造成的,此外,還有因運維不當導致用戶安全受威脅。
對此,齊愛民指出,對於駭客襲擊P2P平臺漏洞,如果漏洞屬於現階段科技所不能避免、或者雖能避免但是需要付出不成比例的代價的,則平臺免責,但可能基於公平責任而給予適當的補償;如果漏洞是自身過錯,則屬於對附隨義務的違反,平臺應該承擔相應賠償責任。
“P2P平臺是盈利性的,會向用戶收取佣金,如果平臺存在設計缺陷屬於服務産品有缺陷,P2P平臺應當按照法律規定和服務協議的約定承擔違約責任。”謝君澤表示,如果平臺服務協議沒有約定,P2P平臺也應當按照佣金的比例給予投資者補償。
此外,工信部《規範網際網路資訊服務市場秩序若干規定》第12條指出,網際網路資訊服務提供者應妥善保管用戶個人資訊;保管的用戶個人資訊洩露或者可能洩露時,應當立即採取補救措施;造成或者可能造成嚴重後果的,應當立即向准予其網際網路資訊服務許可或者備案的電信管理機構報告,並配合相關部門進行調查處理。
“P2P平臺的運維未達到行政法規要求的標準,將承擔行政責任。”謝君澤告訴法治週末記者,正在制定的網路安全法也規定了網際網路企業需要達到保障網路安全的相應標準,網路安全法實施後,違反相關規定的,平臺也要承擔行政責任。