芝麻金融现数据库泄露门(2)
时间:2015-04-10乌云网联合创始人FengGou对记者表示,相关泄露原因与最初发生时间尚处于未知状态,但从去年开始,“黑产”(网络数据买卖黑色产业链)便已开始关注P2P建站系统的安全等问。
“本次事件牵涉到的用户规模、用户数据规模尚不算太大,但目前数据库或已被其他机构或个人利用,则不再是简单的漏洞报告。”FengGou如是称。
对于一家P2P机构,发生此类大规模的信息泄漏不免让人质疑其后台的安全保障系统。根据芝麻金融官网的介绍:该机构采用国际领先的系统加密及保护技术、支付安全套接层协议和128位加密技术,数据的发送采用数字签名技术来保证信息以及来源的不可否认性。
据FengGou分析,以上加密技术就是众所周知的网站https技术,数据备份也只是备份而言,属于最基础的安全保证技术,对于一家金融P2P机构,如果以此作为“顶级”的安全保障是不够的。
“SSL加密与数字签名都是标配,128位加密的使用甚为普遍,但无法解决程序本身的漏洞。”深圳一P2P后台技术人士如是称。但据记者了解,目前部分小型P2P平台仍在使用32位和64位的加密技术。
P2P后台重构
“人在江湖漂,怎能不挨刀。”深圳一P2P机构后台人员对记者笑称,“行业都知道,黑客攻击无处不在,以此为由勒索网贷平台的事情常常有之。”
“不少网贷平台在创业阶段极度不重视IT后台系统的建设,待运行一段时间后,后台团队才发现薄弱的网站基础根本难以承载用户、数据的量级增长。”广东南方金融创新研究院副会长许世明表示。
据一不愿具名的知情人士透露,今年前三个月,仅广州地区便有逾20家P2P平台遭遇不同程度的黑客攻击,“且逾半数平台在上线一年后需要推倒、重新建设其后台系统。”
21世纪经济报道记者不完全统计,自2014年起,全国已有逾150家P2P平台由于黑客攻击造成系统不同程度的瘫痪、数据恶意篡改等。
据介绍,黑客攻击P2P平台的方式主要有三种:最常见的是DDOS攻击,即利用合理的服务请求来占用过多的服务资源,从而使用户无法得到系统的响应。黑客会通过DDOS攻击向服务器提交大量请求,使得服务器运作超负荷。
其二是CC流量攻击,即同一时间频繁访问接口,导致服务器间歇性地出现中断;而第三种方式则是直接对系统的漏洞予以攻击。
“不少P2P机构在初创时期出于成本压缩的考虑,直接购买第三方的IT系统,俗称‘买模板’,只需要数人的团队即可维持运作,但安全隐患非常大,且官方修补周期慢,极容易成为黑客攻击的目标。”广州一P2P风控总监如是称。
据介绍,从第三方IT系统处购买“模板”的P2P机构,最容易成为被攻击的标的。“因为黑客只需攻破一个‘模板’,即可对数个乃至十数个的P2P系统平台发起攻击。”
多位业内人士对记者表示,目前中小型的P2P机构中,花20万-50万“买模板”搭平台的不在少数,部分机构的后台则是外包给第三方机构运营,成本投入约70万-100万。(编辑 王芳艳)