導讀
根據烏云漏洞收集平臺的數據顯示,2014年以來,平臺收到的有關P2P行業漏洞總數為402個,2015年上半年235個,僅今年上半年就比去年一年增長了40.7%。
在上述漏洞中,可能影響到資金安全的漏洞數量占總數的46.2%。其中2015年上半年,這個比例依然維持在44.3%,并未減少。
9月16日,國內知名互聯網漏洞平臺烏云網發布了一份P2P平臺漏洞的報告。涉及搜易貸、和信貸、翼龍貸、有利網等多家P2P信貸平臺,稱其存在安全漏洞。
報告內容顯示,國內多家P2P平臺均存在安全漏洞,這些漏洞有的可能直接影響到用戶的資金安全。面對這些漏洞,有的平臺選擇回應并修復,有的平臺則選擇不予理睬。
這些漏洞將會給用戶和平臺帶來什么樣的危機,以及漏洞為何依然有增無減,日趨嚴重,相關專家對此解讀此“郁結”邏輯所在。
漏洞日趨嚴峻
根據烏云漏洞收集平臺的數據顯示,截至2015年7月底,2014年以來平臺收到的有關P2P行業漏洞總數為402個,僅今年上半年就比去年一年增長了40.7%。其中,高危漏洞占56.2%,中危漏洞占23.4%,低危漏洞占12.3%,8.1%被廠商忽略。
在上述漏洞中,可能影響到資金安全的漏洞數量占總數的46.2%。其中2015年上半年,這個比例依然維持在44.3%,并未減少。
烏云網曾曝光12306用戶泄露、攜程網信息泄露、天河一號等多個知名安全漏洞。在烏云漏洞平臺中,P2P平臺最常見的類型包括支付漏洞、密碼重置、訪問控制等。其中,密碼重置占60%。
“從P2P行業的起始,就伴隨著各種各樣的安全問題。如今P2P行業增勢火爆,其中對待安全漏洞的態度則更是參差不齊,隨著基數的擴大,安全問題看起來并沒有得到改善,反而越來越嚴重。” 烏云聯合創始人FengGou告訴21世紀經濟報道。
金山首席安全專家李鐵軍告訴21世紀經濟報道,一部分P2P平臺是基于共同的模板搭建的,當安全存在漏洞時,同類的網站會被批量入侵。
8月8日,國內主流借貸系統貸齊樂被發現多處SQL(利用現有應用程序,將惡意的SQL命令注入到后臺數據庫引擎執行的能力,得到數據庫)注入可影響大量P2P網貸站點,兩天后,烏云平臺上又爆出貸齊樂出現某處設計缺陷導致大面積注入以及幾處高權限SQL注入。而借貸系統一旦出現安全問題,將影響多個P2P平臺。
根據世界反黑客組織的最新通報,中國P2P平臺已經成為全世界黑客宰割的羔羊,已有多起黑客盜取P2P平臺現金的案例發生。如2014年1月29日,譚登元因侵入他人計算機系統,騙取多家P2P平臺現金,被判處有期徒刑五年,其涉案金額達157萬。
危險密碼解讀
由于邏輯錯誤或設計缺陷導致的漏洞在烏云漏洞平臺中占據較大比例。攻擊者利用自己密碼重置獲得的驗證碼就可以重置其他用戶的密碼。
今年4月,烏云白帽子(即正面的黑客,可以識別計算機系統或網絡系統中的安全漏洞,但并不會惡意去利用,而是公布其漏洞)“管管俠”上傳了搜易貸的邏輯漏洞。攻擊者只需要通過打開自己和他人重置密碼的鏈接,點擊修改自己的密碼,在獲得驗證碼之后,返回到他人密碼重置的頁面,將驗證碼填入,即可成功修改他人的密碼,登錄他人賬戶。
烏云網白帽子303告訴21世紀經濟報道,這種漏洞是由于網站沒有做到一個cookie(在瀏覽器的驗證機制里用于驗證用戶身份)對應一個用戶,沒有將cookie與用戶進行綁定,于是當兩個賬號同時操作的時候,網站就容易將兩個網絡身份搞混。
對于上述漏洞,搜易貸在烏云平臺上給予了回復,表示“已經將漏洞轉交給搜易貸公司”。記者聯系搜易貸了解漏洞修復情況,但并未收到平臺給予的相關回復。
這種情況不僅存在于搜易貸,在烏云漏洞平臺中,金海貸、和信貸、拍拍貸等多家P2P平臺均存在上述問題。
對此,9月16日下午,21世紀經濟報道向部分被烏云網報告提到的網站了解漏洞情況。記者聯系的是搜易貸與和信貸。搜易貸提示記者發郵件去,但截止發稿時,并沒獲得回復。另外,和信貸提供的郵件地址顯然不對。記者發了三次郵件,都被系統退回。于是,再度聯系和信貸方人士,對方堅稱郵箱沒錯,但并不愿意將記者的采訪意愿轉接電話給相關負責人。
對此,烏云漏洞平臺建議,網站開發人員在開發的過程中要注意,應該怎樣保證cookie等可以重置密碼的憑證與用戶之間的對應關系。“如果網站對cookie和用戶進行一對一的綁定,這個問題可以輕易被避免。”白帽子303說。
跟密碼相關的漏洞還有很多。
和信貸于今年5月被烏云曝光,由于可以繞過一些關鍵步驟,而導致任意用戶密碼可被重置。正常的密碼重置流程應該分為“輸入圖形驗證碼、發送短信驗證碼、輸入驗證碼、重置”四步,而在和信貸的流程中,第三步關鍵的驗證過程直接被繞過,攻擊者不需通過驗證即可重置用戶密碼。白帽子303介紹,在這個漏洞中,短信驗證碼沒有起到驗證作用。
烏云網介紹,一般的密碼重置分為輸入用戶名、驗證身份、重置密碼、完成四步。重置密碼的漏洞分為爆破、秒改、需要與人交互三種類型。
其中爆破(即暴力破解,通過工具不停猜測用戶密碼)包括手機驗證碼和郵箱驗證碼兩種。手機驗證碼漏洞較為常見,一般是由于驗證設計過于簡單,對校檢碼使用次數沒有限制,導致正確的驗證碼可以被枚舉爆破,從而重置密碼。
如2013年4月,有利網被曝光由于某個參數設置的過于簡單,且發送請求時無次數限制,可以通過爆破重置任意用戶密碼。
白帽子303介紹,黑客有收集字典的習慣,即會形成一個常規密碼庫,在這種情況下,就可以通過撞庫(黑客通過收集網絡上已泄露的用戶名及密碼信息,生成對應的字典表,到其他網站嘗試批量登錄,得到一批可以登錄的用戶賬號及密碼)達到攻擊的目的。
爆破郵箱漏洞,則發生在用戶點擊發送驗證碼后,后臺會產生數據包,攻擊者可以通過攔截數據包,看到鏈接,從而重置密碼。
對于這種密碼重置系列漏洞,李鐵軍表示,這屬于高危漏洞,由于攻擊者可以得到其他理財用戶的密碼。如果平臺的資金不是原路返回,攻擊者就有機會拿走資金,并提現到其他銀行賬戶。
FengGou表示,大部分漏洞是由于缺乏安全意識與可靠的安全執行力,存在共性,這些問題都是可以避免的。
對此,烏云建議,P2P平臺應該對自身做一個大檢查,重置密碼從來不是一件小事情,作為與資金相關的融資類第三方平臺,密碼不僅是對用戶的一層安全保障,也是自家資金安全的門鎖之一。
攻擊從未停止
烏云報告顯示,截至2014年底,已有近165家P2P平臺由于黑客攻擊造成系統癱瘓,惡意篡改,資金被洗劫一空等,每天都有平臺因為黑客攻擊而面臨倒閉。
雖然P2P金融行業面臨的安全問題一點點變得嚴峻,但安全問題并沒有在這個行業被徹底重視起來。從烏云漏洞平臺可看到,部分實際控制人對于漏洞并沒有表現出重視程度。
5月31日,烏云公開安心貸重要功能設計缺陷漏洞,該漏洞可以通過修改請求包中有關手機號碼的參數,使自己手機接收到任意用戶重置面所需的驗證碼達到重置用戶密碼的目的,可能影響到網站的所有用戶,但該漏洞被廠商選擇忽略。
對于該問題,安心貸的一位客服人員告訴21世紀經濟報道,如有問題,相關同事一定會第一時間進行處理。但截至記者發稿時,烏云漏洞平臺上的漏洞依然沒有被廠商修復。
6月5日,烏云爆出8080信貸新版某業務出現一大波高危漏洞,包括getshell(取得權限)漫游內網、SQL注入等問題,但該漏洞也依然被廠商選擇忽略。
目前對于漏洞的態度比較積極,但仍有比較傳統的企業思維希望以掩蓋安全事件為主,FengGou表示希望企業自身能夠對用戶信息以及資金安全負責,而且必須有第三方的可靠監管機構進行監督。
如何防止這種情況再次發生?李鐵軍告訴記者,這首先需要用戶和平臺雙重重視。用戶需要充分了解平臺,及平臺信息泄露后可能導致的風險,平臺則需要和專業的安全公司合作解決信息泄露的風險。