疑似30萬玖融網使用者資料被掛暗網,僅售1個比特幣
文 | 棘輪
日前,一本財經記者發現,在暗網中有黑客稱盜取了汽車金融平臺玖融網的後臺許可權,可以入侵所有的伺服器。
而黑客稱,他已獲得該平臺上30萬的使用者資料,並以一個比特幣(現價值人民幣3.5萬元)的價格出售。
而該資料包,詳細到可怕的程度。
裡面共有65個數據維度:除了身份證、銀行卡、住址和電話等基本資訊外,甚至還有工作單位、月薪、車型號和擔保人手機號碼。
更可怕的是,如果後臺許可權被獲取,就等於整個後臺在裸奔……
01 暗網出售
在網際網路世界,暗網(Dark Web)如同沉入水中的冰山。
毒販、黑客、殺手,在這個暗無天日的虛擬世界中,肆無忌憚地自由穿行。
11月4日下午4點,黑客孤狼(化名)在暗網釋出一個帖子,稱拿下了汽車金融平臺玖融網的所有許可權。
“包括伺服器、後臺、資料庫。”孤狼在帖子中寫道,“至於這些許可權和資料有什麼用處,懂的人自然明白。”
30萬用戶資料,與後臺伺服器的全部許可權,僅售價1個比特幣。
“如果有老闆買了,我可以提供全程技術支援。”孤狼說道。
為了驗證資料的真實性,他晒出了玖融網的業務管理後臺介面。而他的登入身份,則是“超級管理員”。
孤狼晒出名為玖融網的管理後臺,涵蓋“運營管理”“審批管理”“資料報表”“財務管理”等一系列內容。
該後臺資料顯示,玖融網的平臺累計成交額為44億元,當月成交額1995萬元,待收總額則為6.4億。
除此之外,玖融網使用者的手機號、身份證號、登入次數等隱私資訊,也清晰可見。
玖融網是什麼公司?
這是一家總部位於武漢的汽車金融平臺,給使用者提供汽車抵押貸款與理財服務。
有趣的是,這家公司還有上市公司背景。2016年1月,玖融網曾宣佈獲得來自香港上市公司天鴿互動的A輪融資。
02 65個維度
據孤狼介紹,他手中的資料涵蓋多個維度,資料總量在30萬到40萬之間。這一數字,甚至超過了玖融網對外公開的註冊使用者數量24萬。
“我這裡的資料,不僅有玖融網車貸使用者的,還有他們的P2P投資使用者的,以及內部渠道資料。”孤狼解釋道。
孤狼一共提供了三份資料。
第一份電子表格,是車貸使用者的個人資料資訊。
這份異常詳盡的個人資料,不僅涵蓋了使用者的姓名、手機號、身份證號、銀行卡號,還有戶籍地址、居住地址、工作單位、職務、月薪等。
孤狼提供的資料,維度多達65個
令人震驚的是,車貸使用者的車輛資訊,包括車型、車牌號、顏色、排量等資訊,甚至兩位貸款擔保人的姓名、手機號,也被收錄在了這份電子表格內。
這些資料,多達65個維度。
據多位黑客稱,65個維度的資料,極為詳盡,他們都不常見到。
那麼這份資料是出自玖融網嗎?
一本財經致電上述資料中的多位當事人。他們均證實,自己曾在玖融網註冊賬戶,且資料全部屬實。
只有一位當事人楊某例外。楊某稱,他並未在玖融網辦理車貸或投資理財,但曾在2015年在4S店以分期的方式,購入一輛大眾轎車。
據楊某回憶,其當年按揭購車時選擇的金融公司是“玖信”。而玖融網的公司全名,即是“武漢玖信普惠金融資訊服務有限公司”。
而第二份資料,孤狼號稱是“玖融網的內部渠道資料”,顯示了每一筆業務的客戶來源、門店資訊等內容。
第三份資料,則涵蓋註冊使用者的使用者名稱、註冊郵箱、註冊手機號等資訊。其中,兩行亂碼格外引人注目。
孤狼提供的第三份資料,亂碼是加密後的密碼
多位安全人士指出,這是MD5加密的登入密碼和交易密碼。他們嘗試用解密軟體驗證,發現可以輕易破解密碼。
而安全人士根據破解的密碼,登入玖融網,發現賬戶和密碼正確,可以正常登入。
該使用者賬戶中,尚有餘額2246元
更可怕的是,黑客提供的第三份資料中,也包含了使用者的投資金額。資料檔案中的投資餘額,與APP內顯示相符。
洩露資料中,同樣顯示該使用者仍有餘額2246元
也就是說,資料包括了資產端和資金端的所有維度,整個平臺的業務一覽無遺。
“對於6位數字的短支付密碼,現在業界的通用儲存方式,是‘加鹽加密’。用MD5二次加密儲存短密碼,是對使用者的不負責任。”安全工程師張巨集文稱。
一本財經就資料外洩一事致電玖融網客服。客服表示,對此並不清楚,會向技術部門反饋。
03 “你來晚了”
而資料的外洩,還不是最可怕的。
黑客孤狼稱,他不僅攻克了資料庫,還拿到了包括伺服器在內的全部許可權。
一本財經嘗試聯絡孤狼時,他說了四個字:“你來晚了。”
他稱:“玖融網的許可權,已有老闆買走了。”
對於一家網際網路公司,“許可權”意味著一切。
有了許可權,黑客便可以為所欲為。
“如果伺服器都被攻破,就意味著這個平臺已經完全裸奔了。”網路安全工程師張巨集文對一本財經表示,“黑客只要願意,甚至可以把自己的自拍照掛在官網首頁。”
許可權外洩會給使用者帶來什麼?
“如果只是資料外洩,最嚴重的後果是被詐騙分子利用。”張巨集文說,“但如果是許可權被買走——競爭對手篡改資料、平臺使用者刪除貸款記錄,一切皆有可能。”
“我只管賣許可權。至於客戶拿來做什麼,一概不問。”孤狼稱。
到底是誰洩露了資料和許可權?
“這次資料外洩,應該是黑客攻擊行為,不應該是內鬼。”張巨集文推斷。
支撐他下這個判斷的原因是,黑客使用了遠端桌面登入資料庫。如果是內鬼洩露,根本不需要遠端桌面。
“對於這樣的平臺,許可權外洩並非無計可施。只要更換所有超級管理員賬號與伺服器密碼,就可以讓黑客盜走的‘許可權’失效。”張巨集文解釋道,“下一步,就是檢查漏洞,避免黑客下一次入侵。”
漏洞好補,但資料已然洩露,修補已是亡羊補牢。
最近,大資料行業正在嚴打。
多家資料公司的人被調查,行業九成以上的公司都停工觀望。
資料到底從哪裡洩露?
大資料的運用是一張縱橫交錯的網路,從源頭、儲存、調取的各個環節,都可能存在漏洞。
一個環節出現紕漏,都會功虧一簣。
宣告:本文來自一本財經,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。