芝麻金融现数据库泄露门

导读

　　对于一家P2P机构，发生此类大规模的信息泄漏不免让人质疑其后台的安全保障系统。根据芝麻金融官网的介绍：该机构采用国际领先的系统加密及保护技术、支付安全套接层协议和128位加密技术，数据的发送采用数字签名技术来保证信息以及来源的不可否认性。

　　本报记者 吴燕雨 朱志超 北京、深圳报道

　　4月9日，一则名为“芝麻金融P2P网站数据库泄露可导致用户千万级资金受影响”的漏洞，通过了国内互联网安全漏洞平台——乌云网——的后台审核，其中指出“造成逾8000名用户资料泄露，包括用户姓名、身份证号、手机号、邮箱、银行卡信息等”，涉及金额高达3000万有余。

　　对此，芝麻金融的客服人员则向21世纪经济报道记者坦承：“今早业内数家P2P机构后台均遭到攻击，很不幸芝麻金融成为了其中的一员。”

　　截至发稿前，芝麻金融在官网上发表声明，声称“机构所有用户账户均已绑定第三方资金托管平台，未出现任何用户资金损失的情况”。

　　事实上，自2013年P2P行业日益火爆以来，其遭遇黑客攻击的频次亦呈量级增加。21世纪经济报道记者不完全统计，自2014年起全国已有逾150家P2P平台由于黑客攻击造成系统瘫痪、数据恶意篡改等。

　　据一不愿具名的知情人士透露，今年前三个月，仅广州地区便有逾20家P2P平台遭遇不同程度的黑客攻击，“且逾半数平台在上线一年后需要推倒、重新建设其后台系统。”

　　芝麻“被黑”

　　作为安徽钰诚控股集团旗下的P2P平台，芝麻金融成立于2014年7月16日，2015年正式开展业务以及推出拳头产品——芝麻宝。孰料，运营不过数月，便已被黑客“盯上”。

　　在芝麻金融CEO靳伟看来，其平台的基本定位是以“MBA校友圈子”为纽带，以链接两端的资金方与项目方。为此，芝麻金融引入了社交圈子担保人模式，一旦圈子中的推荐人所推荐的项目通过审核，推荐人需担任项目的担保人，同时支付10%的担保金。

　　然而，别出心裁的撮合模式、高净值的目标人群，亦难掩部分P2P机构后台技术的羸弱。

　　据了解，芝麻金融并非首次被黑客“攻破”，发现该漏洞的“白帽子”早前已监测到有社工论坛上流传着关于芝麻金融数据库的交流和互动，但直至4月9日，“白帽子”正式在乌云上对此予以披露，才得以引起市场的广泛关注。

　　21世纪经济报道记者获悉，只需用人民币充值兑换积分，即可在论坛上将该数据库悉数下载，而这种发生在论坛上的“交流”表明，这份包括逾8000名用户个人信息的数据库，已在互联网中流传多时。

　　乌云网联合创始人邬迪告诉21世纪经济报道，该漏洞信息已通知厂商。目前，芝麻金融已经对报告进行确认，并回复称“（漏洞）正在积极处理中”。

　　“这并不是第一次P2P领域的数据泄露，但绝对是规模较大的一次。”邬迪如是称。漏洞信息显示，“随便登录几个账户，后台显示都是10万量级以上的资金。”

　　据分析，从此次泄露数据库内容来看，并不像是人工整理，因此拖库的可能性较大，即黑客通过技术直接下载某平台的全部数据库。