文 棘輪

　　來源：一本財經

　　日前，一本財經記者發現，在暗網中有黑客稱盜取了汽車金融平臺玖融網的后臺權限，可以入侵所有的服務器。

　　而黑客稱，他已獲得該平臺上30萬的用戶數據，并以一個比特幣（現價值人民幣3.5萬元）的價格出售。

　　而該數據包，詳細到可怕的程度。

　　里面共有65個數據維度：除了身份證、銀行卡、住址和電話等基本信息外，甚至還有工作單位、月薪、車型號和擔保人手機號碼。

　　更可怕的是，如果后臺權限被獲取，就等于整個后臺在裸奔……

　　01 暗網出售

　　在互聯網世界，暗網（Dark Web）如同沉入水中的冰山。

　　毒販、黑客、殺手，在這個暗無天日的虛擬世界中，肆無忌憚地自由穿行。

　　11月4日下午4點，黑客孤狼（化名）在暗網發布一個帖子，稱拿下了汽車金融平臺玖融網的所有權限。

　　“包括服務器、后臺、數據庫。”孤狼在帖子中寫道，“至于這些權限和數據有什么用處，懂的人自然明白。”

　　30萬用戶數據，與后臺服務器的全部權限，僅售價1個比特幣。

　　“如果有老板買了，我可以提供全程技術支持。”孤狼說道。

　　為了驗證數據的真實性，他曬出了玖融網的業務管理后臺界面。而他的登錄身份，則是“超級管理員”。

　　孤狼曬出名為玖融網的管理后臺，涵蓋“運營管理”“審批管理”“數據報表”“財務管理”等一系列內容。

　　該后臺數據顯示，玖融網的平臺累計成交額為44億元，當月成交額1995萬元，待收總額則為6.4億。

　　除此之外，玖融網用戶的手機號、身份證號、登錄次數等隱私信息，也清晰可見。

　　玖融網是什么公司？

　　這是一家總部位于武漢的汽車金融平臺，給用戶提供汽車抵押貸款與理財服務。

　　有趣的是，這家公司還有上市公司背景。2016年1月，玖融網曾宣布獲得來自香港上市公司天鴿互動的A輪融資。

　　02 65個維度

　　據孤狼介紹，他手中的數據涵蓋多個維度，數據總量在30萬到40萬之間。這一數字，甚至超過了玖融網對外公開的注冊用戶數量24萬。

　　“我這里的數據，不僅有玖融網車貸用戶的，還有他們的P2P投資用戶的，以及內部渠道數據。”孤狼解釋道。

　　孤狼一共提供了三份數據。

　　第一份電子表格，是車貸用戶的個人數據信息。

　　這份異常詳盡的個人數據，不僅涵蓋了用戶的姓名、手機號、身份證號、銀行卡號，還有戶籍地址、居住地址、工作單位、職務、月薪等。

孤狼提供的數據，維度多達65個

　　令人震驚的是，車貸用戶的車輛信息，包括車型、車牌號、顏色、排量等信息，甚至兩位貸款擔保人的姓名、手機號，也被收錄在了這份電子表格內。

　　這些數據，多達65個維度。

　　據多位黑客稱，65個維度的數據，極為詳盡，他們都不常見到。

　　那么這份數據是出自玖融網嗎？

　　一本財經致電上述數據中的多位當事人。他們均證實，自己曾在玖融網注冊賬戶，且數據全部屬實。

　　只有一位當事人楊某例外。楊某稱，他并未在玖融網辦理車貸或投資理財，但曾在2015年在4S店以分期的方式，購入一輛大眾轎車。

　　據楊某回憶，其當年按揭購車時選擇的金融公司是“玖信”。而玖融網的公司全名，即是“武漢玖信普惠金融信息服務有限公司”。

　　而第二份數據，孤狼號稱是“玖融網的內部渠道數據”，顯示了每一筆業務的客戶來源、門店信息等內容。

　　第三份數據，則涵蓋注冊用戶的用戶名、注冊郵箱、注冊手機號等信息。其中，兩行亂碼格外引人注目。

孤狼提供的第三份數據，亂碼是加密后的密碼

　　多位安全人士指出，這是MD5加密的登錄密碼和交易密碼。他們嘗試用解密軟件驗證，發現可以輕易破解密碼。

　　而安全人士根據破解的密碼，登錄玖融網，發現賬戶和密碼正確，可以正常登錄。

　　該用戶賬戶中，尚有余額2246元

　　更可怕的是，黑客提供的第三份數據中，也包含了用戶的投資金額。數據文件中的投資余額，與APP內顯示相符。

泄露數據中，同樣顯示該用戶仍有余額2246元

　　也就是說，數據包括了資產端和資金端的所有維度，整個平臺的業務一覽無遺。

　　“對于6位數字的短支付密碼，現在業界的通用保存方式，是‘加鹽加密’。用MD5二次加密保存短密碼，是對用戶的不負責任。”安全工程師張宏文稱。

　　一本財經就數據外泄一事致電玖融網客服。客服表示，對此并不清楚，會向技術部門反饋。

　　03 “你來晚了”

　　而數據的外泄，還不是最可怕的。

　　黑客孤狼稱，他不僅攻克了數據庫，還拿到了包括服務器在內的全部權限。

　　一本財經嘗試聯系孤狼時，他說了四個字：“你來晚了。”

　　他稱：“玖融網的權限，已有老板買走了。”

　　對于一家互聯網公司，“權限”意味著一切。

　　有了權限，黑客便可以為所欲為。

　　“如果服務器都被攻破，就意味著這個平臺已經完全裸奔了。”網絡安全工程師張宏文對一本財經表示，“黑客只要愿意，甚至可以把自己的自拍照掛在官網首頁。”

　　權限外泄會給用戶帶來什么？

　　“如果只是數據外泄，最嚴重的后果是被詐騙分子利用。”張宏文說，“但如果是權限被買走——競爭對手篡改數據、平臺用戶刪除貸款記錄，一切皆有可能。”

　　“我只管賣權限。至于客戶拿來做什么，一概不問。”孤狼稱。

　　到底是誰泄露了數據和權限？

　　“這次數據外泄，應該是黑客攻擊行為，不應該是內鬼。”張宏文推斷。

　　支撐他下這個判斷的原因是，黑客使用了遠程桌面登錄數據庫。如果是內鬼泄露，根本不需要遠程桌面。

　　“對于這樣的平臺，權限外泄并非無計可施。只要更換所有超級管理員賬號與服務器密碼，就可以讓黑客盜走的‘權限’失效。”張宏文解釋道，“下一步，就是檢查漏洞，避免黑客下一次入侵。”

　　漏洞好補，但數據已然泄露，修補已是亡羊補牢。

　　最近，大數據行業正在嚴打。

　　多家數據公司的人被調查，行業九成以上的公司都停工觀望。

　　數據到底從哪里泄露？

　　大數據的運用是一張縱橫交錯的網絡，從源頭、存儲、調取的各個環節，都可能存在漏洞。

　　一個環節出現紕漏，都會功虧一簣。 

　　安全，已成為所有金融科技公司的命門。

　　在金融安全、資產安全之外，技術安全，同樣是重中之重。

　　在大數據整治的大背景下，數據安全已成為企業存活的第一步。

　　（應受訪者要求，文中部分人物為化名）

免責聲明：自媒體綜合提供的內容均源自自媒體，版權歸原作者所有，轉載請聯系原作者并獲許可。文章觀點僅代表作者本人，不代表新浪立場。若內容涉及投資建議，僅供參考勿作為投資依據。投資有風險，入市需謹慎。

責任編輯：趙子牛