芝麻金融数据库被黑 逾8000名用户资料泄露

由此可见，大部分P2P机构后台系统存在不安全因素，所以眼前急需要做的就是重新建设其后台系统，采用高技术手段来确保平台用户信息的安全。

多位业内人士对记者表示，目前中小型的P2P机构中，花20万-50万“买模板”搭平台的不在少数，部分机构的后台则是外包给第三方机构运营，成本投入约70万-100万。

据介绍，从第三方IT系统处购买“模板”的P2P机构，最容易成为被攻击的标的。“因为黑客只需攻破一个‘模板’，即可对数个乃至十数个的P2P系统平台发起攻击。”

“不少P2P机构在初创时期出于成本压缩的考虑，直接购买第三方的IT系统，俗称‘买模板’，只需要数人的团队即可维持运作，但安全隐患非常大，且官方修补周期慢，极容易成为黑客攻击的目标。”广州一P2P风控总监如是称。

第三种方式则是直接对系统的漏洞予以攻击。

其二是CC流量攻击，即同一时间频繁访问接口，导致服务器间歇性地出现中断;

据介绍，黑客攻击P2P平台主要有三种方式：最常见的是DDOS攻击，即利用合理的服务请求来占用过多的服务资源，从而使用户无法得到系统的响应。

据总体统计，今年前三个月，仅广州地区便有逾20家P2P平台遭遇不同程度的黑客攻击。并且据金融之家了解逾半数平台在上线一年后需要推倒、重新建设其后台系统。

2015年1月，国内知名网络借贷平台红岭创投网站遭遇黑客DDOS攻击，网站一度停摆，并且状况持续数个小时。2015年2月春节前夕，深圳平台珠宝贷也遭遇黑客偷袭，网站中断12小时以上。

人在江湖漂，怎能不挨刀。黑客攻击无处不在，以此为由勒索网贷平台的事情时常有之。

黑客无处不在 P2P后台重构成重点

无论其后台安全保障系统安全系数怎么样，此次被黑客攻破已是不争的事实。

“SSL加密与数字签名都是标配，128位加密的使用甚为普遍，但无法解决程序本身的漏洞。”深圳一P2P后台技术人士如是称。但据记者了解，目前部分小型P2P平台仍在使用32位和64位的加密技术。

但是据FengGou分析，以上加密技术其实就是众所周知的网站https技术，数据备份也只是备份而言，属于最基础的安全保证技术，对于一家金融P2P机构，如果以此作为“顶级”的安全保障是不够的。

根据了解，芝麻金融官网上面称该机构采用的是国际领先的系统加密及保护技术，支付安全套接层协议和128位加密技术，数据的发送采用数字签名技术来保证信息以及来源。对于一家知名P2P机构，发生此类大规模的信息泄漏不得不让人质疑其后台的安全保障系统。

乌云网联合创始人FengGou 指出，本次事件牵涉到的用户规模、用户数据规模尚不算太大，但目前数据库或已被其他机构或个人利用，其不再是简单的漏洞报告。

据业内技术人士分析，从此次泄露数据库的内容来看，并不像是人工整理的，分析人士称数据库被拖库的可能性较大，即黑客是通过技术手段直接在平台下载的全部数据。

邬迪称：“这并不是第一次P2P领域的数据泄露，但绝对是规模较大的一次。”根据漏洞信息显示，随便登录几个账户，后台显示的都是10万量级以上的资金。

乌云网联合创始人邬迪告诉记者，他们已告知厂商该漏洞信息。目前，芝麻金融已经对报告进行确认，并回复称“(漏洞)正在积极处理中”。

金融之家记者获悉，只需用人民币充值兑换积分，便可在论坛上将该数据库悉数下载，而这种发生在论坛上的“交流”表明，这份包括逾8000名用户个人信息的数据库，已在互联网中流传多时。

据了解，芝麻金融此次并非是首次被黑客攻破，其实发现该漏洞的“白帽子”早前就已监测到有社工论坛上流传着关于芝麻金融数据库的交流和互动，但是直到4月9日，“白帽子”才正式在乌云上对此予以披露。

芝麻金融由安徽钰诚控股集团控股，成立于2014年7月16日，2015年正式开展业务以及推出拳头产品——芝麻宝。可是这才运营不到数月，就被黑客盯上了。

芝麻不幸“被黑”

截至发稿前，芝麻金融在官网上发表声明，声称“机构所有用户账户均已绑定第三方资金托管平台，未出现任何用户资金损失的情况”。

对于此次事件，芝麻金融的客服人员则向记者坦承：“今早业内数家P2P机构后台均遭到攻击，很不幸芝麻金融成为了其中的一员。”

据金融之家记者了解，此次将造成逾8000名用户资料泄露，涉及金融高达3000万有余。

4月9日，知名漏洞报告平台——乌云发布警示称，国内一家规模在千万级P2P平台网站芝麻金融发现数据库泄露漏洞，乌云在该文上说，白帽子发现这家网站的用户姓名、身份证号、手机号、银行卡号等大量敏感内容曝露。“白帽子”利用这些泄露数据做了测试后发现均能成功登陆。

温馨提醒：随时光飞逝，岁月变迁，文章观点，准确性、可靠性、难免有所变动，因此文章观点仅供参考！