密碼重置漏洞、數(shù)據(jù)庫配置錯誤、登陸邏輯錯誤……這些可能造成用戶信息泄露、影響資金安全的漏洞，在P2P行業(yè)是“?？汀薄?/p>

　　近日，國內(nèi)知名互聯(lián)網(wǎng)漏洞曝光平臺烏云網(wǎng)發(fā)布的一份P2P平臺漏洞報告顯示：自2014年至今，烏云網(wǎng)收到的有關(guān)P2P行業(yè)漏洞總數(shù)為402個，僅2015年上半年就有235個，上半年就比去年一年增長了40.7%。

　　密碼重置漏洞最普遍

　　烏云網(wǎng)P2P漏洞報告顯示，P2P平臺最常見的漏洞類型包括支付漏洞、密碼重置、訪問控制等，其中，密碼重置占到60%。

　　“所謂密碼重置，簡單來說，就是攻擊者拿著自己密碼重置的憑證重置了別的密碼?！睘踉凭W(wǎng)創(chuàng)始人方小頓補(bǔ)充指出，密碼重置是很多常見漏洞的起因，例如把明文密碼通過郵件發(fā)送給用戶，攻擊者可以接收到密碼重置信息。有的廠商由于設(shè)計(jì)缺陷，重置其他用戶的密碼不需要知道用戶郵箱收到的具體URL，可以直接拼湊出重置其他用戶密碼的URL進(jìn)行密碼重置。

　　今年7月，烏云網(wǎng)曝光的“翼龍貸漏洞禮包”顯示，通過找回密碼，抓包可以看到用戶的郵箱、余額、手機(jī)號、ID等敏感信息，利用郵箱和ID，就可以重置用戶的密碼。

　　而這種情況不僅存在于翼龍貸，在烏云網(wǎng)搜索可發(fā)現(xiàn)，金海貸、和信貸、拍拍貸、有利網(wǎng)等多家P2P平臺均存在密碼重置漏洞問題。

　　“由于成本受限，目前行業(yè)自主開發(fā)系統(tǒng)軟件的平臺數(shù)量不多。部分P2P平臺是基于共同的模板搭建的，代碼基本是抄襲的，當(dāng)安全漏洞存在時，這些P2P平臺往往也都會中槍?！敝袊嗣翊髮W(xué)網(wǎng)絡(luò)犯罪與安全研究中心秘書長謝君澤在接受法治周末記者采訪時表示，其實(shí)密碼重置漏洞不只在P2P平臺普遍，在互聯(lián)網(wǎng)廠商存在的漏洞問題中也屬于比較普遍的。

　　法治周末記者注意到，51offer、虎嗅網(wǎng)、驢媽媽等互聯(lián)網(wǎng)廠商均曾被烏云網(wǎng)曝光存在可重置任意用戶密碼的漏洞。

　　對此，烏云網(wǎng)建議開發(fā)人員在開發(fā)的過程中，應(yīng)該注意“保證Cookie等可以重置密碼的憑證與用戶之間的對應(yīng)關(guān)系”。

　　黑客攻擊P2P敲詐勒索

　　烏云網(wǎng)此前發(fā)布的報告指出，截至2014年年底，已有近165家P2P平臺由于遭受黑客攻擊造成系統(tǒng)癱瘓，每天都有平臺因?yàn)楹诳凸舳媾R倒閉。

　　世界反黑客組織的最新通報也顯示，中國P2P平臺已經(jīng)成為全世界黑客宰割的羔羊，已有多起黑客盜取P2P平臺現(xiàn)金的案例發(fā)生。

　　在今年年初，就有數(shù)家平臺遭遇黑客攻擊。例如，1月，紅嶺創(chuàng)投網(wǎng)站遭遇黑客攻擊，網(wǎng)站一度停擺，并且狀況持續(xù)數(shù)個小時；2月初，深圳P2P平臺珠寶貸因受黑客偷襲網(wǎng)站中斷12個小時以上。

　　而引起業(yè)內(nèi)對黑客攻擊更為關(guān)注的事件，是今年6月中旬三家網(wǎng)貸平臺同時遭受黑客攻擊。

　　6月15日，深圳P2P平臺信融財富發(fā)布公告稱，其官網(wǎng)遭到惡意流量攻擊，造成網(wǎng)站無法訪問。幾乎是在信融財富遭到惡意攻擊的同時，另外兩家P2P平臺寶點(diǎn)網(wǎng)和立業(yè)貸也遭到了大規(guī)模黑客攻擊。

　　值得注意的是，在上述三家遭遇黑客攻擊的平臺中，有兩家平臺在“遇襲”前剛獲得融資。其中，信融財富于6月6日獲得香港上市公司普惠中金6000萬元投資；而寶點(diǎn)網(wǎng)則在6月9日宣布完成3000萬美元A輪融資。

　　據(jù)悉，網(wǎng)名為“DK”的黑客曾在攻擊平臺時向信融財富客服發(fā)消息宣稱，“我們封了你們的網(wǎng)站，通知你們老板聯(lián)系我們”。

　　“黑客攻擊P2P平臺的目的往往是竊取信息、資金獲利，大部分是想敲詐平臺。”第三方互聯(lián)網(wǎng)金融研究機(jī)構(gòu)棕櫚樹有關(guān)分析人員指出，P2P平臺受到攻擊的一個嚴(yán)重后果是引起投資者擔(dān)憂，遭遇黑客攻擊的平臺會被認(rèn)為不安全而失去部分投資人，而如果發(fā)生大量投資人擠兌，還可能引發(fā)平臺危機(jī)。

　　設(shè)計(jì)缺陷或致平臺擔(dān)責(zé)

　　依據(jù)侵權(quán)責(zé)任法相關(guān)規(guī)定，損害是因第三人造成的，第三人應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。

　　“黑客攻擊P2P平臺并不意味著其攻擊投資者的投資項(xiàng)目，如果黑客僅僅攻擊P2P平臺，投資者的資金安全不會受到威脅。對于個人信息泄露的風(fēng)險而言，應(yīng)由黑客承擔(dān)侵權(quán)責(zé)任?！敝貞c大學(xué)法學(xué)院教授齊愛民認(rèn)為。

　　侵權(quán)責(zé)任法第36條規(guī)定，網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)侵害他人民事權(quán)益的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)服務(wù)實(shí)施侵權(quán)行為的，被侵權(quán)人有權(quán)通知網(wǎng)絡(luò)服務(wù)提供者采取刪除、屏蔽、斷開鏈接等必要措施。網(wǎng)絡(luò)服務(wù)提供者接到通知后未及時采取必要措施的，對損害的擴(kuò)大部分與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。

　　“黑客攻擊平臺致使客戶受到侵害的，首先應(yīng)當(dāng)由黑客承擔(dān)責(zé)任；客戶在通知平臺采取必要的措施后，如果平臺沒有采取必要措施，那么平臺與黑客就損害的擴(kuò)大部分承擔(dān)連帶責(zé)任?！饼R愛民補(bǔ)充道。

　　法治周末記者則在上述烏云網(wǎng)P2P漏洞報告中注意到，密碼重置漏洞、登陸邏輯錯誤等漏洞很多是由平臺設(shè)計(jì)缺陷造成的，此外，還有因運(yùn)維不當(dāng)導(dǎo)致用戶安全受威脅。

　　對此，齊愛民指出，對于黑客襲擊P2P平臺漏洞，如果漏洞屬于現(xiàn)階段科技所不能避免、或者雖能避免但是需要付出不成比例的代價的，則平臺免責(zé)，但可能基于公平責(zé)任而給予適當(dāng)?shù)难a(bǔ)償；如果漏洞是自身過錯，則屬于對附隨義務(wù)的違反，平臺應(yīng)該承擔(dān)相應(yīng)賠償責(zé)任。

　　“P2P平臺是盈利性的，會向用戶收取傭金，如果平臺存在設(shè)計(jì)缺陷屬于服務(wù)產(chǎn)品有缺陷，P2P平臺應(yīng)當(dāng)按照法律規(guī)定和服務(wù)協(xié)議的約定承擔(dān)違約責(zé)任。”謝君澤表示，如果平臺服務(wù)協(xié)議沒有約定，P2P平臺也應(yīng)當(dāng)按照傭金的比例給予投資者補(bǔ)償。

　　此外，工信部《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》第12條指出，互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)妥善保管用戶個人信息；保管的用戶個人信息泄露或者可能泄露時，應(yīng)當(dāng)立即采取補(bǔ)救措施；造成或者可能造成嚴(yán)重后果的，應(yīng)當(dāng)立即向準(zhǔn)予其互聯(lián)網(wǎng)信息服務(wù)許可或者備案的電信管理機(jī)構(gòu)報告，并配合相關(guān)部門進(jìn)行調(diào)查處理。

　　“P2P平臺的運(yùn)維未達(dá)到行政法規(guī)要求的標(biāo)準(zhǔn)，將承擔(dān)行政責(zé)任?！敝x君澤告訴法治周末記者，正在制定的網(wǎng)絡(luò)安全法也規(guī)定了互聯(lián)網(wǎng)企業(yè)需要達(dá)到保障網(wǎng)絡(luò)安全的相應(yīng)標(biāo)準(zhǔn)，網(wǎng)絡(luò)安全法實(shí)施后，違反相關(guān)規(guī)定的，平臺也要承擔(dān)行政責(zé)任。