继P2P平台跑路风险后,又现数据泄露风险。芝麻金融相关负责人表示未出现任何用户资金损失的情况,但这一事件还是敲响了P2P安全系统的警钟。据了解,用户账户和资金账户分离并不能完全隔离风险,P2P企业仍然需要加大IT系统建设投入。
漏洞平台(平台项目可行性研究报告)乌云发布警示称,国内一家规模在千万级P2P平台网站芝麻金融发现数据库泄露漏洞,乌云称,“白帽子”发现这家网站的用户姓名、身份证号、手机号、银行卡号等大量敏感内容曝露。“白帽子”利用这些泄露数据做了测试后发现均能成功登录。乌云平台相关负责人表示,在乌云发出预警时,已有一些账号在“黑产”(网络数据买卖黑色产业链)上进行交易,对于用户的资金安全是极大的威胁,交易者可直接登录用户的资金账户。
芝麻金融4月10日在官方网站上发布了简短的声明,称“自芝麻金融上线以来,平台账号与资金账户严格分离,所有用户资金均由国家认证的第三方平台托管,由第三方平台确保资金交易绝对安全,用户在芝麻金融的交易是安全可靠的。”声明并未正面回应漏洞问题,芝麻金融相关负责人前天表示,公司正在抓紧核实消息与处理事情,目前并没有芝麻金融用户发生资金安全问题,将会持续发布最新进展。芝麻金融CEO靳伟也表示,后续还会进一步处理相关事件,并将进一步发布公告。
芝麻金融在声明中表示自己的用户账户和资金账户是分离的,这种分离能够避免出现数据泄露吗?理财范副总经理兼产品技术总监杨文韬表示,被黑客攻击几乎是每个互联网企业都会遇到的情况。尤其是P2P行业处在发展初期的,技术投入不够,加之巨大的利益诱惑,黑客很容易去攻击技术薄弱的平台。
一位不愿具名的P2P行业从业人士表示,账户分离能解决个别资金安全问题,比如泄露了用户登录密码,而支付密码没有泄露。这对于保护用户资金安全有一定的意义,但是对于避免数据泄露则没有多少实际意义。“如果黑客能通过一种方式攻击服务器获取登录密码,那他也同样可以通过这种方式攻击服务器获取用户支付密码。所以问题的核心在于如何建立保护机制防止信息的泄露。”上述业内人士表示,事实上,攻击服务器的方式有很多种,每一种所带来的影响也不尽相同。被攻击后的主要问题在于到底泄露了什么信息,如何泄露的,以及如何通过防御手段来避免更大损失。显然,仅通过账户分离或许能够减少损失,但是没有解决根本问题。
银客网副总裁李飞表示,对于任何的信息化服务来说,数据安全与资金安全是最为核心的用户权益,无论电子商务还是互联网金融,支付手段与工具的发展使得用户支付更加便利,但也的确带来了一些潜在风险。李飞表示,一般来说支付与资金风险分为两个方面,即用户自行泄露与平台数据泄露。用户点击钓鱼网站,密码被盗,非法攻击等都有可能让用户在操作使用中泄露核心信息,而平台作为信息聚集方,一旦系统安全防护不到位也有可能批量泄露用户资料与数据。
事实上,芝麻金融注册资本过亿,交易量也很大,即便这样的平台也出现了泄露风险,用户在选择P2P平台的时候该如何考虑呢?理财范副总经理兼产品技术总监杨文韬表示,对于投资者来说,要选择自主开发系统并拥有相当技术实力的平台,另外要注意保护好自己的个人信息,不要轻易泄露,以免造成损失。
杨文韬坦言,网贷平台受到黑客攻击导致数据泄露,最大的原因在于现在国内的网贷平台太多,平台的技术实力参差不齐。尤其是不少平台使用的技术后台甚至不是自己开发的,而是直接购买的第三方IT系统。此类系统由于漏洞多,更新周期慢,存在巨大的安全隐患,极易成为黑客攻击的目标。