众所周知P2P互联网金融已经成为一个重灾区,为了保障人民财产和个人信息安全,。
近日AI达摩社的一篇《失控的P2P 坑人的点融网》在网络上引起了共鸣,巨大的财产风险、不合规的操作手段、缺乏信用保障让不少投资者遭受了损失。
但是这篇文章肯定也会触碰到了某些人的利益神经,所以文末留言撕逼和发表所谓声明也就见怪不怪了。
正如那位评论嘲讽我们"不懂互联网金融”的朋友所言,我们老百姓确实对互联网金融了解太少,人云亦云就乖乖得把苦心积攒下来的血汗钱就这么交了出去。最后换来的却是投资有风险,一屁股的坏账。从点融官方声明中就可以看出他们的态度,一切风险和责任都归于老百姓自己对财富的“贪心”。大家可以细细品味一下《失控的P2P 坑人的点融网》这篇文章以及点融网的声明。
放下财产安全暂且不提,达摩安全特别从个人信息安全角度来分析其中的漏洞和隐患。
这是点融网“声明”中的解释,因为用户授权给点融,所以个人信息就可以随意被利用和扩散。这样的解释合理吗?合法吗?
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
。即便必须要提供,也应该有明示和征得个人同意的义务。
除此之外,《网络借贷信息中介机构业务活动管理办法》也对于P2P信息系统的风险管理提出了详细要求:P2P平台应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度。
达摩安全严谨起见,针对这个技术问题,特意采访了网络信息安全业内的专家,请他们从安全技术角度来点评一下点融网存在的信息安全隐患和漏洞。
首先,和大家自我介绍一下,作为99年的安全创业者,我目前在长春环宇繁星科技任职CSO。虽然在较为年轻的时候,进入了安全企业管理岗位,但我从未脱离安全一线的战场。
近期,点融网的一些安全隐患被大家指出,对于P2P平台,用户们也许会认为管理团队不作为、平台跑路是灭顶之灾。但其实很多时候,P2P平台的技术团队不作为,已经悄无声息的威胁到了用户的隐私与财产安全,甚至,是一枚定时炸弹。
作为安全性要求极高的P2P平台,点融网存在着诸多的技术问题:
1.核心网站,使用了旧版本的开源系统,如wordpress等
2.点融网沿用了多年前的老架构,而同时,后期的开发人员安全意识不足,存在多处配置文件、开发文档的泄露
3.如点融网依然存在的CORS的问题,可以看出,在看似正常运行着的网站背后,存在着整体安全架构、服务器配置的严重不足
4.管理系统对外且存在撞库攻击风险
作为网络平台,连基本的安全技术都无法为用户提供保障,更何况用户的资金安全呢?
▲以上观点采访于长春环宇繁星CSO