中金社4月11日消息,有国内媒体近日报道称,国内P2P平台网站芝麻金融数据库遭泄露,目前这些数据已经在网上流传开来,可能导致千万级用户资金受影响。而芝麻金融方面也已坦承他们的后台遭到黑客攻击,并强调未出现任何用户资金损失的情况。
据了解,芝麻金融是安徽钰诚控股集团旗下的P2P平台,成立于2014年7月16日,2015年正式开展业务并推出主打产品——芝麻宝。然而,运营不过几个月,就被黑客盯上了。
据经济之声《天下公司》日前报道,不久之前,有乌云网的“白帽子”发现社工论坛上流传着关于芝麻金融数据库的交流和互动。
这些数据包括用户姓名、身份证号、手机号、邮箱、银行卡信息等,一共有超过逾8千名用户的资料,只需用人民币充值兑换积分,即可在论坛上将这些数据全部下载。
随后,“白帽子”利用这些泄露数据做了测试后发现,全部都能成功登陆,并且很多账户内有几十万资金,加起来超过3千万。
芝麻金融随后在其官网发表声明,承认他们的后台遭到黑客攻击,并声称“机构所有用户账户均已绑定第三方资金托管平台,未出现任何用户资金损失的情况”。
芝麻金融表示:
我们平台的账号和资金账户是严格分离的,所有用户的资金都是由国家认证的第三方平台托管,也就是双乾支付来确保资金安全。我们的交易是可靠安全的,我们的技术人员对我们数据库也进行了加密处理,您可以放心。
乌云网方面证实,目前,芝麻金融已经对他们的漏洞报告进行了确认,并回复称“(漏洞)正在积极处理中”。
乌云网联合创始人孟卓说,他们现在还无法判断到底是什么原因造成了芝麻金融的用户资料外泄。但孟卓表示,他们并不能主动让“白帽子”去验证这个漏洞是否真的已经补上。
据介绍,黑客攻击P2P平台的方式主要有三种:
最常见的是DDOS攻击,也就是利用合理的服务请求来占用过多的服务资源,从而让用户无法得到系统的响应。黑客会通过DDOS攻击向服务器提交大量请求,使得服务器运作超负荷。
第二种方式是CC流量攻击,就是在同一时间频繁访问接口,导致服务器间歇性地出现中断;而第三种方式则是直接对系统的漏洞予以攻击。
有分析认为,从芝麻金融这次泄露数据库内容来看,并不像是人工整理,因此拖库攻击的可能性较大,也就是黑客通过技术直接下载某平台的全部数据库。
事实上,自从2013年P2P行业日益火爆以来,相关公司遭遇黑客攻击的频率就大幅增加。据不完全统计,自2014年起,全国已有超过150家P2P平台由于黑客攻击造成系统瘫痪、数据恶意篡改等。
去年3月,P2P网贷信息交流与服务平台网贷天眼遭遇黑客袭击,造成网络访问困难,一度无法打开页面。
网贷天眼副总裁袁涛接受采访时候表示,黑客攻击的流量非常大,攻击手段多变,和可能是专业团队干的。
据悉,面对黑客的勒索,80%的P2P平台都会选择妥协。但网贷天眼最终在自己的官网首页挂出了一份“关于抵制黑客恶意攻击及敲诈勒索”的声明。