烏雲曝芝麻金融用戶數據洩露 P2P平臺IT系統建設亟待完善
- 發佈時間:2015-04-16 07:17:00 來源:京華時報 責任編輯:羅伯特
繼P2P平臺跑路風險後,又現數據洩露風險。芝麻金融相關負責人表示未出現任何用戶資金損失的情況,但這一事件還是敲響了P2P安全系統的警鐘。記者在採訪中了解到,用戶賬戶和資金賬戶分離並不能完全隔離風險,P2P企業仍然需要加大IT系統建設投入。
>>事件
芝麻金融被曝洩露
漏洞平臺烏雲發佈警示稱,國內一家規模在千萬級P2P平臺網站芝麻金融發現數據庫洩露漏洞,烏雲稱,“白帽子”發現這家網站的用戶姓名、身份證號、手機號、銀行卡號等大量敏感內容曝露。“白帽子”利用這些洩露數據做了測試後發現均能成功登錄。烏雲平臺相關負責人告訴京華時報記者,在烏雲發出預警時,已有一些賬號在“黑産”(網路數據買賣黑色産業鏈)上進行交易,對於用戶的資金安全是極大的威脅,交易者可直接登錄用戶的資金賬戶。
芝麻金融4月10日在官方網站上發佈了簡短的聲明,稱“自芝麻金融上線以來,平臺賬號與資金賬戶嚴格分離,所有用戶資金均由國家認證的第三方平臺託管,由第三方平臺確保資金交易絕對安全,用戶在芝麻金融的交易是安全可靠的。”聲明並未正面回應漏洞問題,芝麻金融相關負責人前天告訴記者,公司正在抓緊核實消息與處理事情,目前並沒有芝麻金融用戶發生資金安全問題,將會持續發佈最新進展。芝麻金融CEO靳偉也告訴京華時報記者,後續還會進一步處理相關事件,並將進一步發佈公告,不過截至記者發稿時,公司網站並沒有更新的公告發佈。
>>分析
賬戶分離不代表安全
芝麻金融在聲明中表示自己的用戶賬戶和資金賬戶是分離的,這種分離能夠避免出現數據洩露嗎?理財范副總經理兼産品技術總監楊文韜告訴京華時報記者,被駭客攻擊幾乎是每個網際網路企業都會遇到的情況。尤其是P2P行業處在發展初期的,技術投入不夠,加之巨大的利益誘惑,駭客很容易去攻擊技術薄弱的平臺。
一位不願具名的P2P行業從業人士告訴京華時報記者,賬戶分離能解決個別資金安全問題,比如洩露了用戶登錄密碼,而支付密碼沒有洩露。這對於保護用戶資金安全有一定的意義,但是對於避免數據洩露則沒有多少實際意義。“如果駭客能通過一種方式攻擊伺服器獲取登錄密碼,那他也同樣可以通過這種方式攻擊伺服器獲取用戶支付密碼。所以問題的核心在於如何建立保護機制防止資訊的洩露。”上述業內人士表示,事實上,攻擊伺服器的方式有很多種,每一種所帶來的影響也不盡相同。被攻擊後的主要問題在於到底洩露了什麼資訊,如何洩露的,以及如何通過防禦手段來避免更大損失。顯然,僅通過賬戶分離或許能夠減少損失,但是沒有解決根本問題。
>>建議
選平臺看開發能力
銀客網副總裁李飛告訴京華時報記者,對於任何的資訊化服務來説,數據安全與資金安全是最為核心的用戶權益,無論電子商務還是網際網路金融,支付手段與工具的發展使得用戶支付更加便利,但也的確帶來了一些潛在風險。李飛表示,一般來説支付與資金風險分為兩個方面,即用戶自行洩露與平臺數據洩露。用戶點擊釣魚網站,密碼被盜,非法攻擊等都有可能讓用戶在操作使用中洩露核心資訊,而平臺作為資訊聚集方,一旦系統安全防護不到位也有可能批量洩露用戶資料與數據。
事實上,芝麻金融註冊資本過億,交易量也很大,即便這樣的平臺也出現了洩露風險,用戶在選擇P2P平臺的時候該如何考慮呢?理財范副總經理兼産品技術總監楊文韜告訴京華時報記者,對於投資者來説,要選擇自主開發系統並擁有相當技術實力的平臺,另外要注意保護好自己的個人資訊,不要輕易洩露,以免造成損失。
楊文韜坦言,網貸平臺受到駭客攻擊導致數據洩露,最大的原因在於現在國內的網貸平臺太多,平臺的技術實力參差不齊。尤其是不少平臺使用的技術後臺甚至不是自己開發的,而是直接購買的第三方IT系統。此類系統由於漏洞多,更新週期慢,存在巨大的安全隱患,極易成為駭客攻擊的目標。