芝麻金融现数据库泄露门(2)

　　乌云网联合创始人FengGou对记者表示，相关泄露原因与最初发生时间尚处于未知状态，但从去年开始，“黑产”（网络数据买卖黑色产业链）便已开始关注P2P建站系统的安全等问。

　　“本次事件牵涉到的用户规模、用户数据规模尚不算太大，但目前数据库或已被其他机构或个人利用，则不再是简单的漏洞报告。”FengGou如是称。

　　对于一家P2P机构，发生此类大规模的信息泄漏不免让人质疑其后台的安全保障系统。根据芝麻金融官网的介绍：该机构采用国际领先的系统加密及保护技术、支付安全套接层协议和128位加密技术，数据的发送采用数字签名技术来保证信息以及来源的不可否认性。

　　据FengGou分析，以上加密技术就是众所周知的网站https技术，数据备份也只是备份而言，属于最基础的安全保证技术，对于一家金融P2P机构，如果以此作为“顶级”的安全保障是不够的。

　　“SSL加密与数字签名都是标配，128位加密的使用甚为普遍，但无法解决程序本身的漏洞。”深圳一P2P后台技术人士如是称。但据记者了解，目前部分小型P2P平台仍在使用32位和64位的加密技术。

　　P2P后台重构

　　“人在江湖漂，怎能不挨刀。”深圳一P2P机构后台人员对记者笑称，“行业都知道，黑客攻击无处不在，以此为由勒索网贷平台的事情常常有之。”

　　“不少网贷平台在创业阶段极度不重视IT后台系统的建设，待运行一段时间后，后台团队才发现薄弱的网站基础根本难以承载用户、数据的量级增长。”广东南方金融创新研究院副会长许世明表示。

　　据一不愿具名的知情人士透露，今年前三个月，仅广州地区便有逾20家P2P平台遭遇不同程度的黑客攻击，“且逾半数平台在上线一年后需要推倒、重新建设其后台系统。”

　　21世纪经济报道记者不完全统计，自2014年起，全国已有逾150家P2P平台由于黑客攻击造成系统不同程度的瘫痪、数据恶意篡改等。

　　据介绍，黑客攻击P2P平台的方式主要有三种：最常见的是DDOS攻击，即利用合理的服务请求来占用过多的服务资源，从而使用户无法得到系统的响应。黑客会通过DDOS攻击向服务器提交大量请求，使得服务器运作超负荷。

　　其二是CC流量攻击，即同一时间频繁访问接口，导致服务器间歇性地出现中断；而第三种方式则是直接对系统的漏洞予以攻击。

　　“不少P2P机构在初创时期出于成本压缩的考虑，直接购买第三方的IT系统，俗称‘买模板’，只需要数人的团队即可维持运作，但安全隐患非常大，且官方修补周期慢，极容易成为黑客攻击的目标。”广州一P2P风控总监如是称。

　　据介绍，从第三方IT系统处购买“模板”的P2P机构，最容易成为被攻击的标的。“因为黑客只需攻破一个‘模板’，即可对数个乃至十数个的P2P系统平台发起攻击。”

　　多位业内人士对记者表示，目前中小型的P2P机构中，花20万-50万“买模板”搭平台的不在少数，部分机构的后台则是外包给第三方机构运营，成本投入约70万-100万。（编辑 王芳艳）