前言

日前，一本财经记者发现，在暗网中有黑客称盗取了汽车金融平台玖融网的后台权限，可以入侵所有的服务器。黑客称，他已获得该平台上30万的用户数据，并以一个比特币（现价值人民币3.5万元）的价格出售。

而该数据包，详细到可怕的程度。里面共有65个数据维度：除了身份证、银行卡、住址和电话等基本信息外，甚至还有工作单位、月薪、车型号和担保人手机号码。更可怕的是，如果后台权限被获取，就等于整个后台在裸奔……

一、暗网出售

在互联网世界，暗网（Dark Web）如同沉入水中的冰山。毒贩、黑客、杀手，在这个暗无天日的虚拟世界中，肆无忌惮地自由穿行。

11月4日下午4点，黑客孤狼（化名）在暗网发布一个帖子，称拿下了汽车金融平台玖融网的所有权限。

“包括服务器、后台、数据库。”孤狼在帖子中写道，“至于这些权限和数据有什么用处，懂的人自然明白。”

30万用户数据，与后台服务器的全部权限，仅售价1个比特币。

“如果有老板买了，我可以提供全程技术支持。”孤狼说道。

为了验证数据的真实性，他晒出了玖融网的业务管理后台界面。而他的登录身份，则是“超级管理员”。

孤狼晒出名为玖融网的管理后台，涵盖“运营管理”“审批管理”“数据报表”“财务管理”等一系列内容。

该后台数据显示，玖融网的平台累计成交额为44亿元，当月成交额1995万元，待收总额则为6.4亿。

除此之外，玖融网用户的手机号、身份证号、登录次数等隐私信息，也清晰可见。

玖融网是什么公司？

这是一家总部位于武汉的汽车金融平台，给用户提供汽车抵押贷款与理财服务。

有趣的是，这家公司还有上市公司背景。2016年1月，玖融网曾宣布获得来自香港上市公司天鸽互动的A轮融资。

二、65个维度

据孤狼介绍，他手中的数据涵盖多个维度，数据总量在30万到40万之间。这一数字，甚至超过了玖融网对外公开的注册用户数量24万。

“我这里的数据，不仅有玖融网车贷用户的，还有他们的P2P投资用户的，以及内部渠道数据。”孤狼解释道。

孤狼一共提供了三份数据。

第一份电子表格，是车贷用户的个人数据信息。

这份异常详尽的个人数据，不仅涵盖了用户的姓名、手机号、身份证号、银行卡号，还有户籍地址、居住地址、工作单位、职务、月薪等。

孤狼提供的数据，维度多达65个

令人震惊的是，车贷用户的车辆信息，包括车型、车牌号、颜色、排量等信息，甚至两位贷款担保人的姓名、手机号，也被收录在了这份电子表格内。这些数据，多达65个维度。

据多位黑客称，65个维度的数据，极为详尽，他们都不常见到。

那么这份数据是出自玖融网吗？

一本财经致电上述数据中的多位当事人。他们均证实，自己曾在玖融网注册账户，且数据全部属实。

只有一位当事人杨某例外。杨某称，他并未在玖融网办理车贷或投资理财，但曾在2015年在4S店以分期的方式，购入一辆大众轿车。

据杨某回忆，其当年按揭购车时选择的金融公司是“玖信”。而玖融网的公司全名，即是“武汉玖信普惠金融信息服务有限公司”。

而第二份数据，孤狼号称是“玖融网的内部渠道数据”，显示了每一笔业务的客户来源、门店信息等内容。

第三份数据，则涵盖注册用户的用户名、注册邮箱、注册手机号等信息。其中，两行乱码格外引人注目。

孤狼提供的第三份数据，乱码是加密后的密码

多位安全人士指出，这是MD5加密的登录密码和交易密码。他们尝试用解密软件验证，发现可以轻易破解密码。

而安全人士根据破解的密码，登录玖融网，发现账户和密码正确，可以正常登录。

该用户账户中，尚有余额2246元

更可怕的是，黑客提供的第三份数据中，也包含了用户的投资金额。数据文件中的投资余额，与APP内显示相符。

泄露数据中，同样显示该用户仍有余额2246元

也就是说，数据包括了资产端和资金端的所有维度，整个平台的业务一览无遗。

“对于6位数字的短支付密码，现在业界的通用保存方式，是‘加盐加密’。用MD5二次加密保存短密码，是对用户的不负责任。”安全工程师张宏文称。

一本财经就数据外泄一事致电玖融网客服。客服表示，对此并不清楚，会向技术部门反馈。

三、“你来晚了”

而数据的外泄，还不是最可怕的。

黑客孤狼称，他不仅攻克了数据库，还拿到了包括服务器在内的全部权限。

一本财经尝试联系孤狼时，他说了四个字：“你来晚了。”

他称：“玖融网的权限，已有老板买走了。”

对于一家互联网公司，“权限”意味着一切。

有了权限，黑客便可以为所欲为。

“如果服务器都被攻破，就意味着这个平台已经完全裸奔了。”网络安全工程师张宏文对一本财经表示，“黑客只要愿意，甚至可以把自己的自拍照挂在官网首页。”

权限外泄会给用户带来什么？

“如果只是数据外泄，最严重的后果是被诈骗分子利用。”张宏文说，“但如果是权限被买走——竞争对手篡改数据、平台用户删除贷款记录，一切皆有可能。”

“我只管卖权限。至于客户拿来做什么，一概不问。”孤狼称。

到底是谁泄露了数据和权限？

“这次数据外泄，应该是黑客攻击行为，不应该是内鬼。”张宏文推断。

支撑他下这个判断的原因是，黑客使用了远程桌面登录数据库。如果是内鬼泄露，根本不需要远程桌面。

“对于这样的平台，权限外泄并非无计可施。只要更换所有超级管理员账号与服务器密码，就可以让黑客盗走的‘权限’失效。”张宏文解释道，“下一步，就是检查漏洞，避免黑客下一次入侵。”

注意：应受访者要求，文中部分人物为化名。

*本文转载自一本财经，Freddy整理，转载请注明来源。