黑客盯上P2P技术漏洞 芝麻金融惊现数据库泄露门

　　4月9日，一则名为“芝麻金融P2P网站数据库泄露可导致用户千万级资金受影响”的漏洞，通过了国内互联网安全漏洞平台—乌云网—的后台审核，其中指出“造成逾8000名用户资料泄露，包括用户姓名、身份证号、手机号、邮箱、银行卡信息等”，涉及金额高达3000万有余。

　　对此，芝麻金融的客服人员则向21世纪经济报道记者坦承：“今早业内数家P2P机构后台均遭到攻击，很不幸芝麻金融成为了其中的一员。”

　　截至发稿前，芝麻金融在官网上发表声明，声称“机构所有用户账户均已绑定第三方资金托管平台，未出现任何用户资金损失的情况”。

　　事实上，自2013年P2P行业日益火爆以来，其遭遇黑客攻击的频次亦呈量级增加。21世纪经济报道记者不完全统计，自2014年起全国已有逾150家P2P平台由于黑客攻击造成系统瘫痪、数据恶意篡改等。

　　据一不愿具名的知情人士透露，今年前三个月，仅广州地区便有逾20家P2P平台遭遇不同程度的黑客攻击，“且逾半数平台在上线一年后需要推倒、重新建设其后台系统。”

　　芝麻“被黑”

　　作为安徽钰诚控股集团旗下的P2P平台，芝麻金融成立于2014年7月16日，2015年正式开展业务以及推出拳头产品—芝麻宝。孰料，运营不过数月，便已被黑客“盯上”。

　　在芝麻金融CEO靳伟看来，其平台的基本定位是以“MBA校友圈子”为纽带，以链接两端的资金方与项目方。为此，芝麻金融引入了社交圈子担保人模式，一旦圈子中的推荐人所推荐的项目通过审核，推荐人需担任项目的担保人，同时支付10%的担保金。

　　然而，别出心裁的撮合模式、高净值的目标人群，亦难掩部分P2P机构后台技术的羸弱。

　　据了解，芝麻金融并非首次被黑客“攻破”，发现该漏洞的“白帽子”早前已监测到有社工论坛上流传着关于芝麻金融数据库的交流和互动，但直至4月9日，“白帽子”正式在乌云上对此予以披露，才得以引起市场的广泛关注。

　　21世纪经济报道记者获悉，只需用人民币充值兑换积分，即可在论坛上将该数据库悉数下载，而这种发生在论坛上的“交流”表明，这份包括逾8000名用户个人信息的数据库，已在互联网中流传多时。

　　乌云网联合创始人邬迪告诉21世纪经济报道，该漏洞信息已通知厂商。目前，芝麻金融已经对报告进行确认，并回复称“（漏洞）正在积极处理中”。

　　“这并不是第一次P2P领域的数据泄露，但绝对是规模较大的一次。”邬迪如是称。漏洞信息显示，“随便登录几个账户，后台显示都是10万量级以上的资金。”

　　据分析，从此次泄露数据库内容来看，并不像是人工整理，因此拖库的可能性较大，即黑客通过技术直接下载某平台的全部数据库。

　　乌云网联合创始人FengGou对记者表示，相关泄露原因与最初发生时间尚处于未知状态，但从去年开始，“黑产”（网络数据买卖黑色产业链）便已开始关注P2P建站系统的安全等问。

　　“本次事件牵涉到的用户规模、用户数据规模尚不算太大，但目前数据库或已被其他机构或个人利用，则不再是简单的漏洞报告。”FengGou如是称。

　　对于一家P2P机构，发生此类大规模的信息泄漏不免让人质疑其后台的安全保障系统。根据芝麻金融官网的介绍：该机构采用国际领先的系统加密及保护技术、支付安全套接层协议和128位加密技术，数据的发送采用数字签名技术来保证信息以及来源的不可否认性。

　　据FengGou分析，以上加密技术就是众所周知的网站https技术，数据备份也只是备份而言，属于最基础的安全保证技术，对于一家金融P2P机构，如果以此作为“顶级”的安全保障是不够的。

　　“SSL加密与数字签名都是标配，128位加密的使用甚为普遍，但无法解决程序本身的漏洞。”深圳一P2P后台技术人士如是称。但据记者了解，目前部分小型P2P平台仍在使用32位和64位的加密技术。

　　P2P后台重构

　　“人在江湖漂，怎能不挨刀。”深圳一P2P机构后台人员对记者笑称，“行业都知道，黑客攻击无处不在，以此为由勒索网贷平台的事情常常有之。”

　　“不少网贷平台在创业阶段极度不重视IT后台系统的建设，待运行一段时间后，后台团队才发现薄弱的网站基础根本难以承载用户、数据的量级增长。”广东南方金融创新研究院副会长许世明表示。

　　据一不愿具名的知情人士透露，今年前三个月，仅广州地区便有逾20家P2P平台遭遇不同程度的黑客攻击，“且逾半数平台在上线一年后需要推倒、重新建设其后台系统。”

　　21世纪经济报道记者不完全统计，自2014年起，全国已有逾150家P2P平台由于黑客攻击造成系统不同程度的瘫痪、数据恶意篡改等。

　　据介绍，黑客攻击P2P平台的方式主要有三种：最常见的是DDOS攻击，即利用合理的服务请求来占用过多的服务资源，从而使用户无法得到系统的响应。黑客会通过DDOS攻击向服务器提交大量请求，使得服务器运作超负荷。

　　其二是CC流量攻击，即同一时间频繁访问接口，导致服务器间歇性地出现中断；而第三种方式则是直接对系统的漏洞予以攻击。

　　“不少P2P机构在初创时期出于成本压缩的考虑，直接购买第三方的IT系统，俗称"买模板"，只需要数人的团队即可维持运作，但安全隐患非常大，且官方修补周期慢，极容易成为黑客攻击的目标。”广州一P2P风控总监如是称。

　　据介绍，从第三方IT系统处购买“模板”的P2P机构，最容易成为被攻击的标的。“因为黑客只需攻破一个"模板"，即可对数个乃至十数个的P2P系统平台发起攻击。”

　　多位业内人士对记者表示，目前中小型的P2P机构中，花20万-50万“买模板”搭平台的不在少数，部分机构的后台则是外包给第三方机构运营，成本投入约70万-100万。

相关链接：