文 棘轮
来源:一本财经
日前,一本财经记者发现,在暗网中有黑客称盗取了汽车金融平台玖融网的后台权限,可以入侵所有的服务器。
而黑客称,他已获得该平台上30万的用户数据,并以一个比特币(现价值人民币3.5万元)的价格出售。
而该数据包,详细到可怕的程度。
里面共有65个数据维度:除了身份证、银行卡、住址和电话等基本信息外,甚至还有工作单位、月薪、车型号和担保人手机号码。
更可怕的是,如果后台权限被获取,就等于整个后台在裸奔……
01 暗网出售
在互联网世界,暗网(Dark Web)如同沉入水中的冰山。
毒贩、黑客、杀手,在这个暗无天日的虚拟世界中,肆无忌惮地自由穿行。
11月4日下午4点,黑客孤狼(化名)在暗网发布一个帖子,称拿下了汽车金融平台玖融网的所有权限。
“包括服务器、后台、数据库。”孤狼在帖子中写道,“至于这些权限和数据有什么用处,懂的人自然明白。”
30万用户数据,与后台服务器的全部权限,仅售价1个比特币。
“如果有老板买了,我可以提供全程技术支持。”孤狼说道。
为了验证数据的真实性,他晒出了玖融网的业务管理后台界面。而他的登录身份,则是“超级管理员”。
孤狼晒出名为玖融网的管理后台,涵盖“运营管理”“审批管理”“数据报表”“财务管理”等一系列内容。
该后台数据显示,玖融网的平台累计成交额为44亿元,当月成交额1995万元,待收总额则为6.4亿。
除此之外,玖融网用户的手机号、身份证号、登录次数等隐私信息,也清晰可见。
玖融网是什么公司?
这是一家总部位于武汉的汽车金融平台,给用户提供汽车抵押贷款与理财服务。
有趣的是,这家公司还有上市公司背景。2016年1月,玖融网曾宣布获得来自香港上市公司天鸽互动的A轮融资。
02 65个维度
据孤狼介绍,他手中的数据涵盖多个维度,数据总量在30万到40万之间。这一数字,甚至超过了玖融网对外公开的注册用户数量24万。
“我这里的数据,不仅有玖融网车贷用户的,还有他们的P2P投资用户的,以及内部渠道数据。”孤狼解释道。
孤狼一共提供了三份数据。
第一份电子表格,是车贷用户的个人数据信息。
这份异常详尽的个人数据,不仅涵盖了用户的姓名、手机号、身份证号、银行卡号,还有户籍地址、居住地址、工作单位、职务、月薪等。
令人震惊的是,车贷用户的车辆信息,包括车型、车牌号、颜色、排量等信息,甚至两位贷款担保人的姓名、手机号,也被收录在了这份电子表格内。
这些数据,多达65个维度。
据多位黑客称,65个维度的数据,极为详尽,他们都不常见到。
那么这份数据是出自玖融网吗?
一本财经致电上述数据中的多位当事人。他们均证实,自己曾在玖融网注册账户,且数据全部属实。
只有一位当事人杨某例外。杨某称,他并未在玖融网办理车贷或投资理财,但曾在2015年在4S店以分期的方式,购入一辆大众轿车。
据杨某回忆,其当年按揭购车时选择的金融公司是“玖信”。而玖融网的公司全名,即是“武汉玖信普惠金融信息服务有限公司”。
而第二份数据,孤狼号称是“玖融网的内部渠道数据”,显示了每一笔业务的客户来源、门店信息等内容。
第三份数据,则涵盖注册用户的用户名、注册邮箱、注册手机号等信息。其中,两行乱码格外引人注目。
多位安全人士指出,这是MD5加密的登录密码和交易密码。他们尝试用解密软件验证,发现可以轻易破解密码。
而安全人士根据破解的密码,登录玖融网,发现账户和密码正确,可以正常登录。
该用户账户中,尚有余额2246元
更可怕的是,黑客提供的第三份数据中,也包含了用户的投资金额。数据文件中的投资余额,与APP内显示相符。
也就是说,数据包括了资产端和资金端的所有维度,整个平台的业务一览无遗。
“对于6位数字的短支付密码,现在业界的通用保存方式,是‘加盐加密’。用MD5二次加密保存短密码,是对用户的不负责任。”安全工程师张宏文称。
一本财经就数据外泄一事致电玖融网客服。客服表示,对此并不清楚,会向技术部门反馈。
03 “你来晚了”
而数据的外泄,还不是最可怕的。
黑客孤狼称,他不仅攻克了数据库,还拿到了包括服务器在内的全部权限。
一本财经尝试联系孤狼时,他说了四个字:“你来晚了。”
他称:“玖融网的权限,已有老板买走了。”
对于一家互联网公司,“权限”意味着一切。
有了权限,黑客便可以为所欲为。
“如果服务器都被攻破,就意味着这个平台已经完全裸奔了。”网络安全工程师张宏文对一本财经表示,“黑客只要愿意,甚至可以把自己的自拍照挂在官网首页。”
权限外泄会给用户带来什么?
“如果只是数据外泄,最严重的后果是被诈骗分子利用。”张宏文说,“但如果是权限被买走——竞争对手篡改数据、平台用户删除贷款记录,一切皆有可能。”
“我只管卖权限。至于客户拿来做什么,一概不问。”孤狼称。
到底是谁泄露了数据和权限?
“这次数据外泄,应该是黑客攻击行为,不应该是内鬼。”张宏文推断。
支撑他下这个判断的原因是,黑客使用了远程桌面登录数据库。如果是内鬼泄露,根本不需要远程桌面。
“对于这样的平台,权限外泄并非无计可施。只要更换所有超级管理员账号与服务器密码,就可以让黑客盗走的‘权限’失效。”张宏文解释道,“下一步,就是检查漏洞,避免黑客下一次入侵。”
漏洞好补,但数据已然泄露,修补已是亡羊补牢。
最近,大数据行业正在严打。
多家数据公司的人被调查,行业九成以上的公司都停工观望。
数据到底从哪里泄露?
大数据的运用是一张纵横交错的网络,从源头、存储、调取的各个环节,都可能存在漏洞。
一个环节出现纰漏,都会功亏一篑。
安全,已成为所有金融科技公司的命门。
在金融安全、资产安全之外,技术安全,同样是重中之重。
在大数据整治的大背景下,数据安全已成为企业存活的第一步。
(应受访者要求,文中部分人物为化名)
免责声明:自媒体综合提供的内容均源自自媒体,版权归原作者所有,转载请联系原作者并获许可。文章观点仅代表作者本人,不代表新浪立场。若内容涉及投资建议,仅供参考勿作为投资依据。投资有风险,入市需谨慎。
责任编辑:赵子牛
热门推荐
收起24小时滚动播报最新的财经资讯和视频,更多粉丝福利扫描二维码关注(sinafinance)
投资研报 扫码订阅
股市直播
-
趋势领涨2025-01-28 01:20:24
不过,英伟达一天下跌就定义科技股的行情就此结束,这也有点太武断了,美股最大的优点就是流动性强,每次大跌以后,最终都会创出新高,所有,科技股的行情随后几天还需要继续观察,如果A股在开市以前不能收回跌幅,科技股节后还有承压。今天已经开启了放假模式,本来不想写文章的,主要是看见昨天市场杀的有些蹊跷,收盘以后通过数据分析,大盘是不应该杀跌的,节日期间只要不出现意外的利空,只要外围股市不再大跌,A股节后是有望阳包阴的,所以,建议大家安心过春节!最后祝大家新的一年似灵蛇蜕皮,褪去旧疾,迎来股市长红,全家幸福安康! -
趋势领涨2025-01-28 01:20:14
昨天大盘走势确实让人费解,两市个股全线下跌,重点是还有近百只个股跌停,说好的节前红包,结果都给幻方发了红包,不过经过盘后数据分析,昨天应该是某种势力在故意砸盘,节后大盘有望阳包阴!现在重点是科技股,昨晚美股科技股也是全线大跌,英伟达盘中大跌近20%,收盘大跌约17%,费城半导体指数大跌超9%。英伟达大跌的主要原因就是DeepSeek实现了弯道超车,发布了多款开源多模态人工智能(AI)模型。有人不懂DeepSeek为什么能够这么牛逼,能够让世界震惊,这里我们举一个例子说明。一家豪华大酒店高薪聘请了很多海外顶尖厨师,并购置了一系列高端厨具,要打造一道惊艳世人的美食,经过精心烹制,这道美食终于问世。重点是这道美食是世界上独一无二的,他想卖给谁就卖给谁,想卖多少钱就卖多少钱,甚至是阉割版,价格也不下降。现在没有想到的是,一家小餐馆利用现有的锅碗瓢盆,也做出了同样的美味佳肴,而且价格只有豪华大酒店价格的1/30,现在这家小餐馆将方案公布于众,你想吃可以随时进来,没有各种各样的门槛限制,于是豪华大酒店就垮塌了!这个豪华大酒店就是英伟达,而那个不起眼的小餐馆就是幻方大模型!不过,这里我们想说的是,幻方如果能把精力都集中在大模型国际竞争上,而不是把心思用在股市收割上,不要跟韭菜争那三瓜两枣,那才是名族英雄,你们说呢? -
趋势领涨2025-01-28 01:20:06
大家早上好!趋势为王,做股海的领航者,新的一天,新的战斗,欢迎你来到本直播室!新进的朋友请注意点赞,收藏本直播室,以方便你下次观看,谢谢大家的支持!【更多独家重磅股市观点请点击】 -
宋谈股经2025-01-27 07:21:04
今日共39股涨停,连板股总数8只,22股封板未遂,封板率为64%(不含ST股、退市股)。焦点股方面,机器人(sz300024)板块的高标冀东装备(sz000856)与冀凯股份(sz002691)双双上演“地天板”行情,但其余高位股大面积退潮,兴业科技(sz002674)、好想你(sz002582)、五洲新春(sh603667)、华联股份(sz000882)等人气股均跌停。 -
宋谈股经2025-01-27 07:11:26
1月27日收评:创业板指缩量跌2.73%,DeepSeek概念股逆势爆发1、市场全天走势分化,创业板指领跌。DeepSeek概念股集体爆发,每日互动(sz300766)、卓创资讯(sz301299)、每日互动(sz300766)、竞业达(sz003005)等多股涨停。AI智能体概念继续走强,新炬网络(sh605398)、垒知集团(sz002398)、美格智能(sz002881)、泛微网络(sh603039)等封板。下跌方面,算力硬件股持续走低,铜高速连接、CPO等方向领跌,华脉科技(sh603042)、新亚电子(sh605277)、瑞斯康达(sh603803)等跌停;机器人(sz300024)概念股下挫,宝塔实业(sz000595)、五洲新春(sh603667)等跌停。个股跌多涨少,沪深京三市超3300股飘绿,今日成交1.13万亿。截止收盘沪指跌0.06%,深成指跌1.33%,创业板指跌2.73%。2、板块概念方面,DeepSeek、AI智能体、银行、煤炭等板块涨幅居前,铜高速连接、机器人(sz300024)、CPO、液冷服务器等板块跌幅居前。3、两市共1783只个股上涨,45只个股涨停,3197只个股下跌,49只个股跌停,22只股票炸板,炸板率36%。 -
巨丰投资张翠霞2025-01-27 07:10:40
4小时运行结束,总结全天市场运行,1)A股龙年收官日,三大指数集体收跌,沪指跌0.06%,深证成指跌1.33%,创业板指跌2.73%,三市成交额超1.1万亿,复制12月底走势,预期红盘跨年跟跨界,但实际走势出现较大偏差,尾盘出现小幅恐慌抛售,主要长假因素,节后预期延续结构型行情;2)量能,沪深两市今日成交额11276亿元,较上个交易日12337亿元减少1061亿元;3)行业板块方面,以加权涨幅来看56家行业35家红盘,家居用品、银行、电力等板块涨幅居前;通信设备、矿物制品、通用机械等板块跌幅居前;4)市场延续结构型行情,题材热点快速轮动。详细解盘,可关注《翠霞首席课》的“热点直击”和“操盘指南”~~~ -
数字江恩2025-01-27 07:09:31
考虑到长假影响,节后的解盘在假期最后一日再发。祝大家春节愉快!!【更多独家重磅股市观点请点击】 -
徐小明2025-01-27 07:04:26
祝大家新春快乐! -
徐小明2025-01-27 07:02:59
【盘中直播】语音课见 -
东方红陈晨2025-01-27 07:02:11
行了,都散了吧,准备去过年吧,股民最辛苦,坚守最后一个工作日,好好过年,放心,好好玩8天,8天之后,涛声依旧,大涨长红