?　根據(jù)烏云漏洞收集平臺(tái)的數(shù)據(jù)顯示，2014年以來，平臺(tái)收到的有關(guān)P2P行業(yè)漏洞總數(shù)為402個(gè)，2015年上半年235個(gè)，僅今年上半年就比去年一年增長了40.7%。
在上述漏洞中，可能影響到資金安全的漏洞數(shù)量占總數(shù)的46.2%。其中2015年上半年，這個(gè)比例依然維持在44.3%，并未減少。
9月16日，國內(nèi)知名互聯(lián)網(wǎng)漏洞平臺(tái)烏云網(wǎng)發(fā)布了一份P2P平臺(tái)漏洞的報(bào)告。涉及搜易貸、和信貸、翼龍貸、有利網(wǎng)等多家P2P信貸平臺(tái)，稱其存在安全漏洞。
報(bào)告內(nèi)容顯示，國內(nèi)多家P2P平臺(tái)均存在安全漏洞，這些漏洞有的可能直接影響到用戶的資金安全。面對這些漏洞，有的平臺(tái)選擇回應(yīng)并修復(fù)，有的平臺(tái)則選擇不予理睬。
這些漏洞將會(huì)給用戶和平臺(tái)帶來什么樣的危機(jī)，以及漏洞為何依然有增無減，日趨嚴(yán)重，相關(guān)專家對此解讀此“郁結(jié)”邏輯所在。
漏洞日趨嚴(yán)峻
根據(jù)烏云漏洞收集平臺(tái)的數(shù)據(jù)顯示，截至2015年7月底，2014年以來平臺(tái)收到的有關(guān)P2P行業(yè)漏洞總數(shù)為402個(gè)，僅今年上半年就比去年一年增長了40.7%。其中，高危漏洞占56.2%，中危漏洞占23.4%，低危漏洞占12.3%，8.1%被廠商忽略。
在上述漏洞中，可能影響到資金安全的漏洞數(shù)量占總數(shù)的46.2%。其中2015年上半年，這個(gè)比例依然維持在44.3%，并未減少。
烏云網(wǎng)曾曝光12306用戶泄露、攜程網(wǎng)信息泄露、天河一號(hào)等多個(gè)知名安全漏洞。在烏云漏洞平臺(tái)中，P2P平臺(tái)最常見的類型包括支付漏洞、密碼重置、訪問控制等。其中，密碼重置占60%。
“從P2P行業(yè)的起始，就伴隨著各種各樣的安全問題。如今P2P行業(yè)增勢火爆，其中對待安全漏洞的態(tài)度則更是參差不齊，隨著基數(shù)的擴(kuò)大，安全問題看起來并沒有得到改善，反而越來越嚴(yán)重。” 烏云聯(lián)合創(chuàng)始人FengGou告訴21世紀(jì)經(jīng)濟(jì)報(bào)道。
金山首席安全專家李鐵軍告訴21世紀(jì)經(jīng)濟(jì)報(bào)道，一部分P2P平臺(tái)是基于共同的模板搭建的，當(dāng)安全存在漏洞時(shí)，同類的網(wǎng)站會(huì)被批量入侵。
8月8日，國內(nèi)主流借貸系統(tǒng)貸齊樂被發(fā)現(xiàn)多處SQL（利用現(xiàn)有應(yīng)用程序，將惡意的SQL命令注入到后臺(tái)數(shù)據(jù)庫引擎執(zhí)行的能力，得到數(shù)據(jù)庫）注入可影響大量P2P網(wǎng)貸站點(diǎn)，兩天后，烏云平臺(tái)上又爆出貸齊樂出現(xiàn)某處設(shè)計(jì)缺陷導(dǎo)致大面積注入以及幾處高權(quán)限SQL注入。而借貸系統(tǒng)一旦出現(xiàn)安全問題，將影響多個(gè)P2P平臺(tái)。
根據(jù)世界反黑客組織的最新通報(bào)，中國P2P平臺(tái)已經(jīng)成為全世界黑客宰割的羔羊，已有多起黑客盜取P2P平臺(tái)現(xiàn)金的案例發(fā)生。如2014年1月29日，譚登元因侵入他人計(jì)算機(jī)系統(tǒng)，騙取多家P2P平臺(tái)現(xiàn)金，被判處有期徒刑五年，其涉案金額達(dá)157萬。
危險(xiǎn)密碼解讀
由于邏輯錯(cuò)誤或設(shè)計(jì)缺陷導(dǎo)致的漏洞在烏云漏洞平臺(tái)中占據(jù)較大比例。攻擊者利用自己密碼重置獲得的驗(yàn)證碼就可以重置其他用戶的密碼。
今年4月，烏云白帽子（即正面的黑客，可以識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會(huì)惡意去利用，而是公布其漏洞）“管管俠”上傳了搜易貸的邏輯漏洞。攻擊者只需要通過打開自己和他人重置密碼的鏈接，點(diǎn)擊修改自己的密碼，在獲得驗(yàn)證碼之后，返回到他人密碼重置的頁面，將驗(yàn)證碼填入，即可成功修改他人的密碼，登錄他人賬戶。
烏云網(wǎng)白帽子303告訴21世紀(jì)經(jīng)濟(jì)報(bào)道，這種漏洞是由于網(wǎng)站沒有做到一個(gè)cookie（在瀏覽器的驗(yàn)證機(jī)制里用于驗(yàn)證用戶身份）對應(yīng)一個(gè)用戶，沒有將cookie與用戶進(jìn)行綁定，于是當(dāng)兩個(gè)賬號(hào)同時(shí)操作的時(shí)候，網(wǎng)站就容易將兩個(gè)網(wǎng)絡(luò)身份搞混。
對于上述漏洞，搜易貸在烏云平臺(tái)上給予了回復(fù)，表示“已經(jīng)將漏洞轉(zhuǎn)交給搜易貸公司”。記者聯(lián)系搜易貸了解漏洞修復(fù)情況，但并未收到平臺(tái)給予的相關(guān)回復(fù)。
這種情況不僅存在于搜易貸，在烏云漏洞平臺(tái)中，金海貸、和信貸、拍拍貸等多家P2P平臺(tái)均存在上述問題。
對此，9月16日下午，21世紀(jì)經(jīng)濟(jì)報(bào)道向部分被烏云網(wǎng)報(bào)告提到的網(wǎng)站了解漏洞情況。記者聯(lián)系的是搜易貸與和信貸。搜易貸提示記者發(fā)郵件去，但截止發(fā)稿時(shí)，并沒獲得回復(fù)。另外，和信貸提供的郵件地址顯然不對。記者發(fā)了三次郵件，都被系統(tǒng)退回。于是，再度聯(lián)系和信貸方人士，對方堅(jiān)稱郵箱沒錯(cuò)，但并不愿意將記者的采訪意愿轉(zhuǎn)接電話給相關(guān)負(fù)責(zé)人。
對此，烏云漏洞平臺(tái)建議，網(wǎng)站開發(fā)人員在開發(fā)的過程中要注意，應(yīng)該怎樣保證cookie等可以重置密碼的憑證與用戶之間的對應(yīng)關(guān)系。“如果網(wǎng)站對cookie和用戶進(jìn)行一對一的綁定，這個(gè)問題可以輕易被避免。”白帽子303說。
跟密碼相關(guān)的漏洞還有很多。
和信貸于今年5月被烏云曝光，由于可以繞過一些關(guān)鍵步驟，而導(dǎo)致任意用戶密碼可被重置。正常的密碼重置流程應(yīng)該分為“輸入圖形驗(yàn)證碼、發(fā)送短信驗(yàn)證碼、輸入驗(yàn)證碼、重置”四步，而在和信貸的流程中，第三步關(guān)鍵的驗(yàn)證過程直接被繞過，攻擊者不需通過驗(yàn)證即可重置用戶密碼。白帽子303介紹，在這個(gè)漏洞中，短信驗(yàn)證碼沒有起到驗(yàn)證作用。
烏云網(wǎng)介紹，一般的密碼重置分為輸入用戶名、驗(yàn)證身份、重置密碼、完成四步。重置密碼的漏洞分為爆破、秒改、需要與人交互三種類型。
其中爆破（即暴力破解，通過工具不停猜測用戶密碼）包括手機(jī)驗(yàn)證碼和郵箱驗(yàn)證碼兩種。手機(jī)驗(yàn)證碼漏洞較為常見，一般是由于驗(yàn)證設(shè)計(jì)過于簡單，對校檢碼使用次數(shù)沒有限制，導(dǎo)致正確的驗(yàn)證碼可以被枚舉爆破，從而重置密碼。
如2013年4月，有利網(wǎng)被曝光由于某個(gè)參數(shù)設(shè)置的過于簡單，且發(fā)送請求時(shí)無次數(shù)限制，可以通過爆破重置任意用戶密碼。
白帽子303介紹，黑客有收集字典的習(xí)慣，即會(huì)形成一個(gè)常規(guī)密碼庫，在這種情況下，就可以通過撞庫（黑客通過收集網(wǎng)絡(luò)上已泄露的用戶名及密碼信息，生成對應(yīng)的字典表，到其他網(wǎng)站嘗試批量登錄，得到一批可以登錄的用戶賬號(hào)及密碼）達(dá)到攻擊的目的。
爆破郵箱漏洞，則發(fā)生在用戶點(diǎn)擊發(fā)送驗(yàn)證碼后，后臺(tái)會(huì)產(chǎn)生數(shù)據(jù)包，攻擊者可以通過攔截?cái)?shù)據(jù)包，看到鏈接，從而重置密碼。
對于這種密碼重置系列漏洞，李鐵軍表示，這屬于高危漏洞，由于攻擊者可以得到其他理財(cái)用戶的密碼。如果平臺(tái)的資金不是原路返回，攻擊者就有機(jī)會(huì)拿走資金，并提現(xiàn)到其他銀行賬戶。
FengGou表示，大部分漏洞是由于缺乏安全意識(shí)與可靠的安全執(zhí)行力，存在共性，這些問題都是可以避免的。
對此，烏云建議，P2P平臺(tái)應(yīng)該對自身做一個(gè)大檢查，重置密碼從來不是一件小事情，作為與資金相關(guān)的融資類第三方平臺(tái)，密碼不僅是對用戶的一層安全保障，也是自家資金安全的門鎖之一。
攻擊從未停止
烏云報(bào)告顯示，截至2014年底，已有近165家P2P平臺(tái)由于黑客攻擊造成系統(tǒng)癱瘓，惡意篡改，資金被洗劫一空等，每天都有平臺(tái)因?yàn)楹诳凸舳媾R倒閉。
雖然P2P金融行業(yè)面臨的安全問題一點(diǎn)點(diǎn)變得嚴(yán)峻，但安全問題并沒有在這個(gè)行業(yè)被徹底重視起來。從烏云漏洞平臺(tái)可看到，部分實(shí)際控制人對于漏洞并沒有表現(xiàn)出重視程度。
5月31日，烏云公開安心貸重要功能設(shè)計(jì)缺陷漏洞，該漏洞可以通過修改請求包中有關(guān)手機(jī)號(hào)碼的參數(shù)，使自己手機(jī)接收到任意用戶重置面所需的驗(yàn)證碼達(dá)到重置用戶密碼的目的，可能影響到網(wǎng)站的所有用戶，但該漏洞被廠商選擇忽略。
對于該問題，安心貸的一位客服人員告訴21世紀(jì)經(jīng)濟(jì)報(bào)道，如有問題，相關(guān)同事一定會(huì)第一時(shí)間進(jìn)行處理。但截至記者發(fā)稿時(shí)，烏云漏洞平臺(tái)上的漏洞依然沒有被廠商修復(fù)。
6月5日，烏云爆出8080信貸新版某業(yè)務(wù)出現(xiàn)一大波高危漏洞，包括getshell（取得權(quán)限）漫游內(nèi)網(wǎng)、SQL注入等問題，但該漏洞也依然被廠商選擇忽略。
目前對于漏洞的態(tài)度比較積極，但仍有比較傳統(tǒng)的企業(yè)思維希望以掩蓋安全事件為主，F(xiàn)engGou表示希望企業(yè)自身能夠?qū)τ脩粜畔⒁约百Y金安全負(fù)責(zé)，而且必須有第三方的可靠監(jiān)管機(jī)構(gòu)進(jìn)行監(jiān)督。
如何防止這種情況再次發(fā)生？李鐵軍告訴記者，這首先需要用戶和平臺(tái)雙重重視。用戶需要充分了解平臺(tái)，及平臺(tái)信息泄露后可能導(dǎo)致的風(fēng)險(xiǎn)，平臺(tái)則需要和專業(yè)的安全公司合作解決信息泄露的風(fēng)險(xiǎn)。