疑似30万玖融网用户数据被挂暗网,仅售1个比特币
文 | 棘轮
日前,记者发现,在暗网中有黑客称盗取了汽车金融平台玖融网的后台权限,可以入侵所有的服务器。
而黑客称,他已获得该平台上30万的用户数据,并以一个比特币(现价值人民币3.5万元)的价格出售。
而该数据包,详细到可怕的程度。
里面共有65个数据维度:除了身份证、银行卡、住址和电话等基本信息外,甚至还有工作单位、月薪、车型号和担保人手机号码。
更可怕的是,如果后台权限被获取,就等于整个后台在裸奔……
一、暗网出售
在互联网世界,暗网(Dark Web)如同沉入水中的冰山。
毒贩、黑客、杀手,在这个暗无天日的虚拟世界中,肆无忌惮地自由穿行。
11月4日下午4点,黑客孤狼(化名)在暗网发布一个帖子,称拿下了汽车金融平台玖融网的所有权限。
“包括服务器、后台、数据库。”孤狼在帖子中写道,“至于这些权限和数据有什么用处,懂的人自然明白。”
30万用户数据,与后台服务器的全部权限,仅售价1个比特币。
“如果有老板买了,我可以提供全程技术支持。”孤狼说道。
为了验证数据的真实性,他晒出了玖融网的业务管理后台界面。而他的登录身份,则是“超级管理员”。
孤狼晒出名为玖融网的管理后台,涵盖“运营管理”“审批管理”“数据报表”“财务管理”等一系列内容。
该后台数据显示,玖融网的平台累计成交额为44亿元,当月成交额1995万元,待收总额则为6.4亿。
除此之外,玖融网用户的手机号、身份证号、登录次数等隐私信息,也清晰可见。
玖融网是什么公司?
这是一家总部位于武汉的汽车金融平台,给用户提供汽车抵押贷款与理财服务。
有趣的是,这家公司还有上市公司背景。2016年1月,玖融网曾宣布获得来自香港上市公司天鸽互动的A轮融资。
二、65个维度
据孤狼介绍,他手中的数据涵盖多个维度,数据总量在30万到40万之间。这一数字,甚至超过了玖融网对外公开的注册用户数量24万。
“我这里的数据,不仅有玖融网车贷用户的,还有他们的P2P投资用户的,以及内部渠道数据。”孤狼解释道。
孤狼一共提供了三份数据。
第一份电子表格,是车贷用户的个人数据信息。
这份异常详尽的个人数据,不仅涵盖了用户的姓名、手机号、身份证号、银行卡号,还有户籍地址、居住地址、工作单位、职务、月薪等。
孤狼提供的数据,维度多达65个
令人震惊的是,车贷用户的车辆信息,包括车型、车牌号、颜色、排量等信息,甚至两位贷款担保人的姓名、手机号,也被收录在了这份电子表格内。
这些数据,多达65个维度。
据多位黑客称,65个维度的数据,极为详尽,他们都不常见到。
那么这份数据是出自玖融网吗?
记者致电上述数据中的多位当事人。他们均证实,自己曾在玖融网注册账户,且数据全部属实。
只有一位当事人杨某例外。杨某称,他并未在玖融网办理车贷或投资理财,但曾在2015年在4S店以分期的方式,购入一辆大众轿车。
据杨某回忆,其当年按揭购车时选择的金融公司是“玖信”。而玖融网的公司全名,即是“武汉玖信普惠金融信息服务有限公司”。
而第二份数据,孤狼号称是“玖融网的内部渠道数据”,显示了每一笔业务的客户来源、门店信息等内容。
第三份数据,则涵盖注册用户的用户名、注册邮箱、注册手机号等信息。其中,两行乱码格外引人注目。
孤狼提供的第三份数据,乱码是加密后的密码
多位安全人士指出,这是MD5加密的登录密码和交易密码。他们尝试用解密软件验证,发现可以轻易破解密码。
而安全人士根据破解的密码,登录玖融网,发现账户和密码正确,可以正常登录。
该用户账户中,尚有余额2246元
更可怕的是,黑客提供的第三份数据中,也包含了用户的投资金额。数据文件中的投资余额,与APP内显示相符。
泄露数据中,同样显示该用户仍有余额2246元
也就是说,数据包括了资产端和资金端的所有维度,整个平台的业务一览无遗。
“对于6位数字的短支付密码,现在业界的通用保存方式,是‘加盐加密’。用MD5二次加密保存短密码,是对用户的不负责任。”安全工程师张宏文称。
记者就数据外泄一事致电玖融网客服。客服表示,对此并不清楚,会向技术部门反馈。
三、“你来晚了”
而数据的外泄,还不是最可怕的。
黑客孤狼称,他不仅攻克了数据库,还拿到了包括服务器在内的全部权限。
记者尝试联系孤狼时,他说了四个字:“你来晚了。”
他称:“玖融网的权限,已有老板买走了。”
对于一家互联网公司,“权限”意味着一切。
有了权限,黑客便可以为所欲为。
“如果服务器都被攻破,就意味着这个平台已经完全裸奔了。”网络安全工程师张宏文对记者表示,“黑客只要愿意,甚至可以把自己的自拍照挂在官网首页。”
权限外泄会给用户带来什么?
“如果只是数据外泄,最严重的后果是被诈骗分子利用。”张宏文说,“但如果是权限被买走——竞争对手篡改数据、平台用户删除贷款记录,一切皆有可能。”
“我只管卖权限。至于客户拿来做什么,一概不问。”孤狼称。
到底是谁泄露了数据和权限?
“这次数据外泄,应该是黑客攻击行为,不应该是内鬼。”张宏文推断。
支撑他下这个判断的原因是,黑客使用了远程桌面登录数据库。如果是内鬼泄露,根本不需要远程桌面。
“对于这样的平台,权限外泄并非无计可施。只要更换所有超级管理员账号与服务器密码,就可以让黑客盗走的‘权限’失效。”张宏文解释道,“下一步,就是检查漏洞,避免黑客下一次入侵。”
漏洞好补,但数据已然泄露,修补已是亡羊补牢。
最近,大数据行业正在严打。
多家数据公司的人被调查,行业九成以上的公司都停工观望。
数据到底从哪里泄露?
大数据的运用是一张纵横交错的网络,从源头、存储、调取的各个环节,都可能存在漏洞。
一个环节出现纰漏,都会功亏一篑。
安全,已成为所有金融科技公司的命门。
在金融安全、资产安全之外,技术安全,同样是重中之重。
在大数据整治的大背景下,数据安全已成为企业存活的第一步。
(应受访者要求,文中部分人物为化名)
END
文章来源:一本财经
(向上滑动查看内容)
遗留在 2600 万中国女性体内的“环”,残害工具还是替罪羊?
几十万人被骗,检察院公诉“亚元文旅资产”特大传销案,涉案金额19亿
35家影视投资公司可能存在风险,你中招了吗?电影投资涉嫌诈骗平台诈骗2亿余元,2000受害者何去何从?
现金贷最大“卖水人”被查后,考拉征信等大数据公司高层均被警方带走调查
矿机厂商亿邦国际卷入非法集资案 上市程序被喊停正配合警方调查
飞鸽自行车被曝破产,系旗下电动车重组拍卖,55万起拍无人报名
年幼无父,22岁守寡,给人跑腿,40岁身家百亿!马云都得靠她!
热点|“云联惠”首案滨州一审宣判,“云联惠注册第一人”唐某某被判5年半
全国首例!温州老太买保健品被骗,反获奖励6.6万!这招终极反杀绝了
特大骗局供应链,子龙链狼狈为奸崩盘在即!赶快远离!【曝光】“Yo乐理财”涉嫌传销式非法集资
起底针对老年人的“保健品”骗局 体检报告随意修改 婚庆司仪变身医学专家
【头条】北海传销女网邀男子第一晚就上床!记者亲历传销过程 破译“洗脑”逻辑
一起涉黑案牵出90余名公职人员,4名省管干部栽了, 监狱、法院、检察、公安系统人员交织腐败
云集品公司现场一片狼藉!警方已介入调查,原来是供应商讨要货款并报案
【重磅】警方称正宇集团涉非法集资,先后以企信易购,乾易通,乾特商城忽悠老百姓投钱
河南高院10名正、副庭长被免职,多名干部的任免通知被撤销【案件】男子武汉参与“资本运作”,警方开枪击中男子大腿!
“男朋友”打死失足女,牵出组织强迫卖淫团伙案背后的“保护伞”
【政策】央行再度重申虚拟货币交易监管 将对124家境外服务器平台实施监测封堵
买840万保险108岁才可取?传王健林旗下保险公司卷入诈骗案
【头条】2家上市公司,4000多家连锁店,超英集团被曝诈骗数亿元?!受害者反馈“金元币”是一场骗局
【曝光】多名网友投诉“网红世家”,“安徽网红生物”违规发行预付卡
当长辈的微信头像变成这样要小心了!因为很可能是“物联网”新型传销
拼房App像“拉皮条”!女记者曾试用,男用户称“已开好大床房”
珍菌堂“牛樟芝培植推投1.5万元简单浇水 两年即能纯获利2万元.
重磅 | 银行抢着发卡,年轻人忙着透支...全国已有756亿逾期!
营收上百亿的明星企业陨落:老板5655万元的四合院也被拿去抵债
【追踪】云南多地警方公开点名“金宝融”涉嫌传销【曝光】宣传4倍回报的“欣霖丝路”迟迟不兑现,被骗者扬言要报案
【曝光】以养老为名让会员认购股权,贵州七福宝电子商务有限公司非法集资上亿元
中仁财富和乾多多涉嫌集资诈骗被移送起诉,财富中国被经侦立案!
更多内容请点击阅读原文