首页
社区
课程
招聘
转载 黑客攻击P2P敲诈勒索 设计缺陷或致平台担责
发表于: 2015-9-26 08:03 994

转载 黑客攻击P2P敲诈勒索 设计缺陷或致平台担责

2015-9-26 08:03
994
密码重置漏洞、数据库配置错误、登陆逻辑错误……这些可能造成用户信息泄露、影响资金安全的漏洞,在P2P行业是“常客”。

近日,国内知名互联网漏洞曝光平台乌云网发布的一份P2P平台漏洞报告显示:自2014年至今,乌云网收到的有关P2P行业漏洞总数为402个,仅2015年上半年就有235个,上半年就比去年一年增长了40.7%。

密码重置漏洞最普遍

乌云网P2P漏洞报告显示,P2P平台最常见的漏洞类型包括支付漏洞、密码重置、访问控制等,其中,密码重置占到60%。

“所谓密码重置,简单来说,就是攻击者拿着自己密码重置的凭证重置了别的密码。”乌云网创始人方小顿补充指出,密码重置是很多常见漏洞的起因,例如把明文密码通过邮件发送给用户,攻击者可以接收到密码重置信息。有的厂商由于设计缺陷,重置其他用户的密码不需要知道用户邮箱收到的具体URL,可以直接拼凑出重置其他用户密码的URL进行密码重置。

今年7月,乌云网曝光的“翼龙贷漏洞礼包”显示,通过找回密码,抓包可以看到用户的邮箱、余额、手机号、ID等敏感信息,利用邮箱和ID,就可以重置用户的密码。

而这种情况不仅存在于翼龙贷,在乌云网搜索可发现,金海贷、和信贷、拍拍贷、有利网等多家P2P平台均存在密码重置漏洞问题。

“由于成本受限,目前行业自主开发系统软件的平台数量不多。部分P2P平台是基于共同的模板搭建的,代码基本是抄袭的,当安全漏洞存在时,这些P2P平台往往也都会中枪。”中国人民大学网络犯罪与安全研究中心秘书长谢君泽在接受法治周末记者采访时表示,其实密码重置漏洞不只在P2P平台普遍,在互联网厂商存在的漏洞问题中也属于比较普遍的。

法治周末记者注意到,51offer、虎嗅网、驴妈妈等互联网厂商均曾被乌云网曝光存在可重置任意用户密码的漏洞。

对此,乌云网建议开发人员在开发的过程中,应该注意“保证Cookie等可以重置密码的凭证与用户之间的对应关系”。

黑客攻击P2P敲诈勒索

乌云网此前发布的报告指出,截至2014年年底,已有近165家P2P平台由于遭受黑客攻击造成系统瘫痪,每天都有平台因为黑客攻击而面临倒闭。

世界反黑客组织的最新通报也显示,中国P2P平台已经成为全世界黑客宰割的羔羊,已有多起黑客盗取P2P平台现金的案例发生。

在今年年初,就有数家平台遭遇黑客攻击。例如,1月,红岭创投网站遭遇黑客攻击,网站一度停摆,并且状况持续数个小时;2月初,深圳P2P平台珠宝贷因受黑客偷袭网站中断12个小时以上。

而引起业内对黑客攻击更为关注的事件,是今年6月中旬三家网贷平台同时遭受黑客攻击。

6月15日,深圳P2P平台信融财富发布公告称,其官网遭到恶意流量攻击,造成网站无法访问。几乎是在信融财富遭到恶意攻击的同时,另外两家P2P平台宝点网和立业贷也遭到了大规模黑客攻击。

值得注意的是,在上述三家遭遇黑客攻击的平台中,有两家平台在“遇袭”前刚获得融资。其中,信融财富于6月6日获得香港上市公司普惠中金6000万元投资;而宝点网则在6月9日宣布完成3000万美元A轮融资。

据悉,网名为“DK”的黑客曾在攻击平台时向信融财富客服发消息宣称,“我们封了你们的网站,通知你们老板联系我们”。

“黑客攻击P2P平台的目的往往是窃取信息、资金获利,大部分是想敲诈平台。”第三方互联网金融研究机构棕榈树有关分析人员指出,P2P平台受到攻击的一个严重后果是引起投资者担忧,遭遇黑客攻击的平台会被认为不安全而失去部分投资人,而如果发生大量投资人挤兑,还可能引发平台危机。

设计缺陷或致平台担责

依据侵权责任法相关规定,损害是因第三人造成的,第三人应当承担侵权责任。

“黑客攻击P2P平台并不意味着其攻击投资者的投资项目,如果黑客仅仅攻击P2P平台,投资者的资金安全不会受到威胁。对于个人信息泄露的风险而言,应由黑客承担侵权责任。”重庆大学法学院教授齐爱民认为。

侵权责任法第36条规定,网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。

“黑客攻击平台致使客户受到侵害的,首先应当由黑客承担责任;客户在通知平台采取必要的措施后,如果平台没有采取必要措施,那么平台与黑客就损害的扩大部分承担连带责任。”齐爱民补充道。

法治周末记者则在上述乌云网P2P漏洞报告中注意到,密码重置漏洞、登陆逻辑错误等漏洞很多是由平台设计缺陷造成的,此外,还有因运维不当导致用户安全受威胁。

对此,齐爱民指出,对于黑客袭击P2P平台漏洞,如果漏洞属于现阶段科技所不能避免、或者虽能避免但是需要付出不成比例的代价的,则平台免责,但可能基于公平责任而给予适当的补偿;如果漏洞是自身过错,则属于对附随义务的违反,平台应该承担相应赔偿责任。

“P2P平台是盈利性的,会向用户收取佣金,如果平台存在设计缺陷属于服务产品有缺陷,P2P平台应当按照法律规定和服务协议的约定承担违约责任。”谢君泽表示,如果平台服务协议没有约定,P2P平台也应当按照佣金的比例给予投资者补偿。

此外,工信部《规范互联网信息服务市场秩序若干规定》第12条指出,互联网信息服务提供者应妥善保管用户个人信息;保管的用户个人信息泄露或者可能泄露时,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其互联网信息服务许可或者备案的电信管理机构报告,并配合相关部门进行调查处理。

“P2P平台的运维未达到行政法规要求的标准,将承担行政责任。”谢君泽告诉法治周末记者,正在制定的网络安全法也规定了互联网企业需要达到保障网络安全的相应标准,网络安全法实施后,违反相关规定的,平台也要承担行政责任。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//