P2P平台安全漏洞迭出 攻擊從未停止

導讀

根據烏雲漏洞收集平台的數據顯示，2014年以來，平台收到的有關P2P行業漏洞總數為402個，2015年上半年235個，僅今年上半年就比去年一年增長了40.7%。

在上述漏洞中，可能影響到資金安全的漏洞數量占總數的46.2%。其中2015年上半年，這個比例依然維持在44.3%，並未減少。

本報記者 吳燕雨 北京報導

9月16日，國內知名互聯網漏洞平台烏雲網發布了一份P2P平台漏洞的報告。涉及搜易貸、和信貸、翼龍貸、有利網等多家P2P信貸平台，稱其存在安全漏洞。

報告內容顯示，國內多家P2P平台均存在安全漏洞，這些漏洞有的可能直接影響到用戶的資金安全。面對這些漏洞，有的平台選擇回應並修復，有的平台則選擇不予理睬。

這些漏洞將會給用戶和平台帶來什麼樣的危機，以及漏洞為何依然有增無減，日趨嚴重，相關專家對此解讀此“鬱結”邏輯所在。

漏洞日趨嚴峻

根據烏雲漏洞收集平台的數據顯示，截至2015年7月底，2014年以來平台收到的有關P2P行業漏洞總數為402個，僅今年上半年就比去年一年增長了40.7%。其中，高危漏洞占56.2%，中危漏洞占23.4%，低危漏洞占12.3%，8.1%被廠商忽略。

在上述漏洞中，可能影響到資金安全的漏洞數量占總數的46.2%。其中2015年上半年，這個比例依然維持在44.3%，並未減少。

烏雲網曾曝光12306用戶泄露、攜程網信息泄露、天河一號等多個知名安全漏洞。在烏雲漏洞平台中，P2P平台最常見的類型包括支付漏洞、密碼重置、訪問控制等。其中，密碼重置占60%。

“從P2P行業的起始，就伴隨各種各樣的安全問題。如今P2P行業增勢火爆，其中對待安全漏洞的態度則更是參差不齊，隨基數的擴大，安全問題看起來並沒有得到改善，反而越來越嚴重。” 烏雲聯合創始人FengGou告訴21世紀經濟報導。

金山首席安全專家李鐵軍告訴21世紀經濟報導，一部分P2P平台是基於共同的模板搭建的，當安全存在漏洞時，同類的網站會被批量入侵。

8月8日，國內主流借貸系統貸齊樂被發現多處SQL（利用現有應用程序，將惡意的SQL命令注入到后台資料庫引擎執行的能力，得到資料庫）注入可影響大量P2P網貸站點，兩天后，烏雲平台上又爆出貸齊樂出現某處設計缺陷導致大面積注入以及幾處高權限SQL注入。而借貸系統一旦出現安全問題，將影響多個P2P平台。

根據世界反黑客組織的最新通報，中國P2P平台已經成為全世界黑客宰割的羔羊，已有多起黑客盜取P2P平台現金的案例發生。如2014年1月29日，譚登元因侵入他人計算機系統，騙取多家P2P平台現金，被判處有期徒刑五年，其涉案金額達157萬。

危險密碼解讀

由於邏輯錯誤或設計缺陷導致的漏洞在烏雲漏洞平台中佔據較大比例。攻擊者利用自己密碼重置獲得的驗證碼就可以重置其他用戶的密碼。

今年4月，烏雲白帽子（即正面的黑客，可以識別計算機系統或網絡系統中的安全漏洞，但並不會惡意去利用，而是公佈其漏洞）“管管俠”上傳了搜易貸的邏輯漏洞。攻擊者只需要通過打開自己和他人重置密碼的連結，點擊修改自己的密碼，在獲得驗證碼之后，返回到他人密碼重置的頁面，將驗證碼填入，即可成功修改他人的密碼，登錄他人賬戶。

烏雲網白帽子303告訴21世紀經濟報導，這種漏洞是由於網站沒有做到一個cookie（在瀏覽器的驗證機制裏用於驗證用戶身份）對應一個用戶，沒有將cookie與用戶進行綁定，於是當兩個賬號同時操作的時候，網站就容易將兩個網絡身份搞混。

對於上述漏洞，搜易貸在烏雲平台上給予了回復，表示“已經將漏洞轉交給搜易貸公司”。記者聯繫搜易貸了解漏洞修復情況，但並未收到平台給予的相關回復。

這種情況不僅存在於搜易貸，在烏雲漏洞平台中，金海貸、和信貸、拍拍貸等多家P2P平台均存在上述問題。

對此，9月16日下午，21世紀經濟報導向部分被烏雲網報告提到的網站了解漏洞情況。記者聯繫的是搜易貸與和信貸。搜易貸提示記者發郵件去，但截止發稿時，並沒獲得回復。另外，和信貸提供的郵件地址顯然不對。記者發了三次郵件，都被系統退回。於是，再度聯繫和信貸方人士，對方堅稱郵箱沒錯，但並不願意將記者的採訪意願轉接電話給相關負責人。

對此，烏雲漏洞平台建議，網站開發人員在開發的過程中要注意，應該怎樣保證cookie等可以重置密碼的憑證與用戶之間的對應關係。“如果網站對cookie和用戶進行一對一的綁定，這個問題可以輕易被避免。”白帽子303。

跟密碼相關的漏洞還有很多。

和信貸於今年5月被烏雲曝光，由於可以繞過一些關鍵步驟，而導致任意用戶密碼可被重置。正常的密碼重置流程應該分為“輸入圖形驗證碼、發送短信驗證碼、輸入驗證碼、重置”四步，而在和信貸的流程中，第三步關鍵的驗證過程直接被繞過，攻擊者不需通過驗證即可重置用戶密碼。白帽子303介紹，在這個漏洞中，短信驗證碼沒有起到驗證作用。

烏雲網介紹，一般的密碼重置分為輸入用戶名、驗證身份、重置密碼、完成四步。重置密碼的漏洞分為爆破、秒改、需要與人交互三種類型。

其中爆破（即暴力破解，通過工具不停猜測用戶密碼）包括手機驗證碼和郵箱驗證碼兩種。手機驗證碼漏洞較為常見，一般是由於驗證設計過於簡單，對校檢碼使用次數沒有限制，導致正確的驗證碼可以被枚舉爆破，從而重置密碼。

如2013年4月，有利網被曝光由於某個參數設置的過於簡單，且發送請求時無次數限制，可以通過爆破重置任意用戶密碼。

白帽子303介紹，黑客有收集字典的習慣，即會形成一個常規密碼庫，在這種情況下，就可以通過撞庫（黑客通過收集網絡上已泄露的用戶名及密碼信息，生成對應的字典表，到其他網站嘗試批量登錄，得到一批可以登錄的用戶賬號及密碼）達到攻擊的目的。

爆破郵箱漏洞，則發生在用戶點擊發送驗證碼后，后台會生數據包，攻擊者可以通過攔截數據包，看到連結，從而重置密碼。

對於這種密碼重置系列漏洞，李鐵軍表示，這屬於高危漏洞，由於攻擊者可以得到其他理財用戶的密碼。如果平台的資金不是原路返回，攻擊者就有機會拿走資金，並提現到其他銀行賬戶。

FengGou表示，大部分漏洞是由於缺乏安全意識與可靠的安全執行力，存在共性，這些問題都是可以避免的。

對此，烏雲建議，P2P平台應該對自身做一個大檢查，重置密碼從來不是一件小事情，作為與資金相關的融資類第三方平台，密碼不僅是對用戶的一層安全保障，也是自家資金安全的門鎖之一。

攻擊從未停止

烏雲報告顯示，截至2014年底，已有近165家P2P平台由於黑客攻擊造成系統癱瘓，惡意篡改，資金被洗劫一空等，每天都有平台因為黑客攻擊而面臨倒閉。

雖然P2P金融行業面臨的安全問題一點點變得嚴峻，但安全問題並沒有在這個行業被徹底重視起來。從烏雲漏洞平台可看到，部分實際控制人對於漏洞並沒有表現出重視程度。

5月31日，烏雲公開安心貸重要功能設計缺陷漏洞，該漏洞可以通過修改請求包中有關手機號碼的參數，使自己手機接收到任意用戶重置面所需的驗證碼達到重置用戶密碼的目的，可能影響到網站的所有用戶，但該漏洞被廠商選擇忽略。

對於該問題，安心貸的一位客服人員告訴21世紀經濟報導，如有問題，相關同事一定會第一時間進行處理。但截至記者發稿時，烏雲漏洞平台上的漏洞依然沒有被廠商修復。

6月5日，烏雲爆出8080信貸新版某業務出現一大波高危漏洞，包括getshell（取得權限）漫游內網、SQL注入等問題，但該漏洞也依然被廠商選擇忽略。

目前對於漏洞的態度比較積極，但仍有比較傳統的企業思維希望以掩蓋安全事件為主，FengGou表示希望企業自身能夠對用戶信息以及資金安全負責，而且必須有第三方的可靠監管機構進行監督。

如何防止這種情況再次發生？李鐵軍告訴記者，這首先需要用戶和平台雙重重視。用戶需要充分了解平台，及平台信息泄露后可能導致的風險，平台則需要和專業的安全公司合作解決信息泄露的風險。

（編輯：李伊琳）