芝麻金融8千客戶資料洩露 駭客頻繁攻擊P2P平臺需警覺
- 發佈時間:2015-04-10 18:59:00 來源:中國廣播網 責任編輯:羅伯特
央廣網財經4月10日消息(記者 趙珂)據經濟之聲《天下公司》報道,國內網際網路安全漏洞平臺烏雲網又爆猛料了,這次的受害者是P2P平臺網站芝麻金融。烏雲網的報告指出:芝麻金融數據庫洩露,可能導致千萬級用戶資金受影響。
不久之前,有烏雲網的“白帽子”發現社工論壇上流傳著關於芝麻金融數據庫的交流和互動。這些數據包括用戶姓名、身份證號、手機號、郵箱、銀行卡資訊等”,一共有超過逾8千名用戶的資料,只需用人民幣充值兌換積分,即可在論壇上將這些數據全部下載。
“白帽子”利用這些洩露數據做了測試後發現,全部都能成功登陸,並且很多賬戶內有幾十萬資金,加起來超過3千萬。更可怕的是,這些賬號資料已經在網上流傳開來。
芝麻金融方面坦承他們的後臺遭到駭客攻擊,同時又在官網上發表聲明,聲稱“機構所有用戶賬戶均已綁定第三方資金託管平臺,未出現任何用戶資金損失的情況”。芝麻金融的客服也也一再表示,客戶完全可以放心:
芝麻金融:我們平臺的賬號和資金賬戶是嚴格分離的,所有用戶的資金都是由國家認證的第三方平臺託管,也就是雙乾支付來確保資金安全。我們的交易是可靠安全的,我們的技術人員對我們數據庫也進行了加密處理,您可以放心。
芝麻金融是安徽鈺誠控股集團旗下的P2P平臺,成立於2014年7月16日,2015年正式開展業務並推出主打産品——芝麻寶。然而,運營不過幾個月,就被駭客盯上了。
事實上,自從2013年P2P行業日益火爆以來,相關公司遭遇駭客攻擊的頻率就大幅增加。據不完全統計,自2014年起,全國已有超過150家P2P平臺由於駭客攻擊造成系統癱瘓、數據惡意篡改等。
去年3月,P2P網貸資訊交流與服務平臺網貸天眼遭遇駭客襲擊,造成網路訪問困難,一度無法打開頁面。。網貸天眼副總裁袁濤接受採訪時候表示,駭客攻擊的流量非常大,攻擊手段多變,和可能是專業團隊幹的。
據了解,面對駭客的勒索,80%的P2P平臺都會選擇妥協。但網貸天眼最終在自己的官網首頁挂出了一份“關於抵制駭客惡意攻擊及敲詐勒索”的聲明。
據介紹,駭客攻擊P2P平臺的方式主要有三種:最常見的是DDOS攻擊,也就是利用合理的服務請求來佔用過多的服務資源,從而讓用戶無法得到系統的響應。駭客會通過DDOS攻擊向伺服器提交大量請求,使得伺服器運作超負荷。第二種方式是CC流量攻擊,就是在同一時間頻繁訪問介面,導致伺服器間歇性地出現中斷;而第三種方式則是直接對系統的漏洞予以攻擊。
有分析認為,從芝麻金融這次洩露數據庫內容來看,並不像是人工整理,因此拖庫攻擊的可能性較大,也就是駭客通過技術直接下載某平臺的全部數據庫。烏雲網聯合創始人孟卓説,他們現在還無法判斷到底是什麼原因造成了芝麻金融的用戶資料外泄。
烏雲網方面證實,目前,芝麻金融已經對他們的漏洞報告進行了確認,並回復稱“(漏洞)正在積極處理中”。但孟卓表示,他們並不能主動讓“白帽子”去驗證這個漏洞是否真的已經補上。
一位P2P業內人士透露,不少P2P機構在初創時期出於成本壓縮的考慮,直接購買第三方的IT系統,俗稱‘買模板’,只需要數人的團隊即可維持運作,安全隱患非常大,官方修補週期慢,極容易成為駭客攻擊的目標。
目前中小型的P2P機構中,花20萬-50萬“買模板”搭平臺的不在少數,部分機構的後臺則是外包給第三方機構運營,成本投入約70萬-100萬。P2P行業資深觀察者湯潯芳表示,P2P平臺遭駭客攻擊的現象需要引起高度警覺:
湯潯芳:去年他們就有被攻擊的情況,但是媒體的關注並不多,需要加強P2P平臺的管理,駭客通常都是出於經濟目的去攻擊P2P平臺,很多P2P都有客戶的銀行賬戶資訊,這些資訊泄漏以後,對用戶資金安全肯定不利。