初探英国P2P借贷行业的安全状况

关注 2017-06-04 12:51:53 查看数 26576 ,评论数 0 观点
摘要:本文就英国上市的39家P2P公司对几个基本安全问题进行分析,试图以点带面透视英国P2P行业的整体安全状况,为平台经营者和用户提供更良好的安全建议。

背景

受利率降低和市场的不确定性的影响,最近一段时间,企业和个人从传统银行获得贷款和信用担保以及实现储蓄回报变得更加困难,越来越多的人正在转向P2P贷款。 什么是P2P贷款 本报告将P2P贷款定义为:通过线上匹配贷款人和借款人直接向个人或企业提供贷款的一种线上借贷服务方式。 由于P2P借贷公司完全是线上操作,管理费用支出较低,所以服务费用通常比比传统金融机构更低。与传统银行提供的储蓄和投资产品相比,放贷人通常可以获得更多的回报(某些情况下超过10%,而传统银行的回报率基本上低于0.5%)。即使信用记录不佳,借款人也可以通过较低的利率获得贷款,可以使用财产、珠宝、高端汽车或古董等进行抵押或担保。 近几年,英国的P2P借贷业务呈爆炸式增长,几乎每隔一周就会出现一家新的P2P公司。2005年成立的Zopa公司是世界上第一家提供P2P借贷服务的公司,截止目前为止仅在英国就有超过40家公司提供P2P贷款业务,除了企业贷款意之外,新推出的面向个人储蓄账户(IFISA)的“金融创新”产品也已经证明了其强大的市场需求。 英国已上市的的P2P公司(按首字母排名) 最近几年英国P2P借贷公司的爆炸式发展,个人和企业对此的接受度越来越高。作者特别分析了这些公司的安全措施以及在处理个人和财务信息方面的数据管理情况。 根据一些基本的安全因素对上述39家P2P公司进行考查分析,结果令人震惊! 分析的安全因素包括:
  • 密码策略
  • 密码重置流程导致账户信息泄露
  • 服务器软件指纹
  • SSL、安全头部报告
  • Cookies,本地Session存储
  • 双因素认证
  • 电子邮件交流

密码策略

首先,来看一下每个网站的“密码策略”,所谓的“密码策略”是指当用户在第一次注册设置密码或之后更改密码时,为确保密码强度和复杂度,强制要求执行的一组规则。(如最小密码长度、迷上密码长度、必须包含至少一个大写字母、必须包含至少一个小写字母、必须包含至少一个数字、必须包含至少一个特殊字符、不能包含某类字符) 图中标注的1、2、3、4,分别代表以下情况: 1.尽管屏幕上会有密码复杂度的提示,但实际并未执行; 2.需要一封验证信(任何的设置密码场景) 3.对常见的弱密码有警告,但仍然允许使用,类似全部是大写字母或全部是数字的密码组合。 4.需要一个数字或特殊字符 分析: 所谓的“强”密码,通常被认为至少是12个字符组成的随机字符串,这些字符串是一个包含了大小写字母、数字和特殊字符的组合。比如:“password”被认为是非常脆弱和易被猜解/破解的,而“Hf-wefi^x(7J”这类组合则更强一些。好的密码策略会强制使用强密码。 调查的39家公司中有19家(占比49%)允许使用长度小于8个字符的密码,但更令人惊讶的是有9家公司(占比23%)允许使用单个字符作为密码!任何低于8个字符的密码都是不可接受的,允许用一个字符作为密码简直就是形同虚设。 要警惕那些禁止使用某些字符/符号作为密码一部分的网站,因为这可能是一个迹象,表明该网站没有安全的存储密码信息。 也要警惕那些对最大密码字符串长度做限制的网站,因为如果密码被正确的存储,实际上并不需要检测最大密码长度。 最后,需要注意一点,尽管有些网站会显示弱密码提示、或不符合他们的最低密码安全策略,但是却依然可以设置弱密码。

密码重置流程导致账户信息泄露

在密码重置流程,可能会泄露用户的账户信息,比如在某网站的重制密码页面文本框中输入一个用户邮箱,根据返回信息的不同可以暴露一些账户信息。 值得庆幸的是,通过分析结果来看,这39家网站似乎都没有给用户提供“检索”或“恢复”原有密码的功能。不过这并不意味着这些公司不能检索这些数据。 这39家网站都有密码重置的功能,其中25家(占比64%)在密码重置环节存在账户信息泄露的问题。这意味着,在“重置密码”页面输入一个电子邮件地址,网站会返回该电子邮件是否是注册账户的信息: 这里,更好的做法是:无论是否找到匹配账户,屏幕上应当展示相同的结果。比如下图所示:

服务器软件“指纹”

Web服务器应当尽可能地减少有关服务器基础架构软件及其版本的信息披露。这些信息都可能成为攻击者在发动攻击时的一个参考因素。 例如:在“Server v1.0.0”上存在一个安全漏洞,开发商为此发布了“Server v1.0.1”的更新版本进行修复,但是网站继续运行v1.0.0版本,那么就极容易遭到攻击。 对于攻击者而言,获悉“Server v1.0.0”版本中存在安全漏洞、在全网搜索运行该版本服务器的站点,然后发动攻击,是一件很容易的事情。 因此,理想情况下,Web服务器不应该透露任何关于服务器上运行着的软件的名称和版本号的相关信息。 这39家公司在这方面的情况如下: 以上信息,是通过在这39家网站的访问页面上,直接查看HTTP响应头获得的。相关字段包括:“X-Powered-By”、“X-Generator” 和 “X-Content-Encoded-By”等。 理想情况下,上述信息都不应该在HTTP响应头部出现。 这39家网站中,只有3家(占比8%)不透露任何有关服务器的基本信息;16家(占比41%)只透露了服务器上使用的核心产品名称,并未透露具体的版本号;其余的20家(占比51%)透露了更多的信息,包括服务器软件版本号、PHP版本、操作系统、安装的模块等信息。 作为参考,我们可以查看一下相关产品的最新版本,进而就可以看到上述网站是否运行着最新或过时的软件。 显而易见,大多数网站正在运行着老版本的软件,其中甚至有些软件已经不再被开发商所支持或更新。 保持服务器上软件是最新版的,这个问题始终是重要的,这样做至少可以让你免受任何在旧版本中出现的漏洞的影响。

SSL、安全头报告

这一部分主要关注各类SSL / TLS,HTTPS,安全头和证书问题。

分析

SSL Labs Grade SSL Labs 服务器测试是一个免费的在线服务,支持对公网上的人和SSL Web服务器的配置情况进行深入的分析,将网站分为A+到F级(F级是最差的情况) 结果显示:39家网站上,2家(占比5%)存在OpenSSL Padding Oracle 漏洞 (CVE-2016-2107);2家(占比5%)容易受到“POODLE”攻击。 Security Headers Grade securityheaders.io 也是一个免费的在线服务,可以分析公网上人和Web服务器的HTTP响应头信息,并检查头部的安全设置情况,将网站分为A+到F级(F级是最差的情况)。 SSL证书类型 常见的域安全证书有3种: 1. DV (Domain Validated),仅使用域名进行验证。任何人都可以获得DV证书,不需要提供个人或企业的身份认证。 2.OV (Organization Validated),需要提供更多认证信息,相比DV而言可以提供更多的信任。想要获得一个OV证书,需要通过发证机关的核实。通过认证的组织的名称也会在证书中列明,证明网站和公司是有信誉的,用户可以给予更多的信任。 3.EV (Extended Validation),可以为访问者提供最大的信任了,并且还需要证书颁发机构的验证。获得EV证书需要提供额外的文件证明。EV证书出了列出了OV证书中的公司名称外,会在地址栏中显示公司名称、组织名称的位置标注为绿色,对于用户而言,这种方式更加直接、具有视觉冲击力,一般大型公司和金融机构会选择EV证书。

DV证书示例

EV证书示例

遗憾的是,目前只有20家(占比51%)网站有EV证书。 为更好的保障组织和用户的权益,SSL证书应该只发给组织想要认证/声明的域(以及它的子域名,在必要的时候),不应该对其它的无关的站点进行支持

混合内容

支持HTTPS的站点上,所有内容的传输都应当使用HTTPS协议。如果把提供HTTPS的资源和提供HTTP的资源混合在同一个页面上,这被称为“Mixed Content”,这样做是很危害的,增加了网页的脆弱性。测试发现有3个站点的主页上存在这种情况。

丢弃TLS 1.0 ?

按照目标的标准来衡量,传输层安全协议(TLS)1.0版本不再被认为是安全的。此外,到2018年,继续支持TLS1.0将违反PCI规范。上述P2P站点需要做出相应的调整。

在写作本报告时,只有2家网站(占比5%)放弃了对TLS1.0的支持。更令人担忧的是,有一个网站目前只支持TLS1.0连接(而不是更新的1.1和1.2规范)。 有两家站点目前仍然支持过时的SSL2和SSL3连接,这使得他们容易受到“贵宾犬”漏洞攻击。

没有完全重定向到HTTPS页面

某些站点上,一些页面通过跳转链接,依然可以使用HTTP进行访问,尤其是登录页面(如http://www.investandfund.com/login?Login=1),这就导致容易遭受中间人攻击(MITM)的威胁。

CloudFlare用例

根据分析得知,有7家网站(占比18%)在使用Cloud Flare提供的服务(数据来自doesitusecloudflare.com)。2016年9月份到2017年2月份,CloudFlare存在内存泄露问题,可能会导致HTTP cookie、认证领跑、HTTP POST实例和其它敏感信息泄露(并被搜索引擎缓存)。 本文写作时,有些网站已经停止使用Cloud Flare服务。有家网站于3月2日在P2P独立论坛发表评论说:公司在2017年2月24号收到来自CloudFare的邮件,确认公司的账户没有收到影响。”。然而,目前没有证据表明其它7家曾经/正在使用CloudFlare服务的公司对其用户的信息采取了必要的防御措施。

留有可以通向测试/开发服务器的链接

某家公司线上系统的页面上,残留着可以跳转到测试服务器的链接地址,这是由于开发人员的疏忽和马虎造成的。

旧网站版本依然活跃/在线

某家公司旧版本的系统依然在线,用户使用公开的渠道就可以点击进去。 为了保证安全性,公司应该确保网站的旧版本被删除或禁止公开访问。旧版本的网站上存在很多问题,遗留在线上容易被黑客利用。

Cookie,本地会话存储

个人/财务数据在用户浏览器上明文存储,是一大安全隐患。另外,金融交易网站在处理Cookie信息时,应当设置“Secure”和“httpOnly”标识。 分析 设置“Secure”和“HttpOnly”标识是如此简单的、对提升安全能力很有效的一件事,但令人惊讶的是,很少有网站这么做。cookie/本地会话信息的存储和处理措施情况不容乐观,更令人担忧的是,大量的未加密的个人信息被存储在用户浏览器上,如:{“email":"[REDACTED]","residentCountry":"GB","gender":"MALE","dateOfBirth":"[REDACTED]","postcode":"[REDACTED]"}

双因素认证

密码本身作为身份识别并不理想,试想如果有人知道或猜解了你的密码,他们就可以访问你的账户。为了解决这个问题,提出了双因素认证(2FA)的方案。常见的有密码+硬件设备/令牌/钥匙/智能卡等组合。 有必要对双重认证(2SV)和双因素认证(2FA)这两个概念认识清楚,他们是有明显区别的。 注意,上面几张图中1、2、3的含义分别指:
  1. Ablrate网站上的“隐私政策”与“安全问题”相关,但是这些在他们的网站上并没有实现,也许他们是从其它网站复制&粘贴过来的?!
  2. 安全问题仅用于重新找回密码的情况。
  3.  2FA是一个可选项,默认不开启。
分析 目前,只有growthstreet、Ratesetter和savingstream这三家网站提供了2FA的方法(通过发送一个授权码到您的手机,即每次登录需要通过短信验证),不过对用户而言这仅是一个可选项,默认情况下不会开启。 考虑到P2P平台直接涉及资金交易,类似于线上银行,用户有必要对此多加注意。

电子邮件交流

我尝试与这39家公司进行通信,并礼貌的问他们以下几个问题,以便更好的了解他们对安全问题的看法和实现方法:
  • 您的网站的开发工作是外包的,还是内部团队开发的? 如何存储用户的密码和其它个人信息?(比如,使用了什么加密算法?)
  • 您的网站是否支持双因素认证(2FA)?
  • 您的网站/基础设置是否经过了专业的、独立的第三方安全审计?如果是的话,您能提供哪些证据吗?
  • 是否出现过IT基础设施方面的安全漏洞?
  • 您的组织内部是否有专业的安全团队,可以询问和交流一些安全问题?
我感兴趣的是他们对安全问题的反应速度、开放度和透明度,以及是否希望了解更多安全问题的情况。 特意选择了一个星期六的早晨,上午十一点和下午12:30之间,我发送了这些通信邮件。这些邮件地址是从他们网站上公布的联系方式或其它途径获得的。 回复情况如下:

*后来报告公布后,又收到了部分回复,未在上面图示中显示。

一个公司(尤其是存储个人身份信息和处理金融交易的公司),在收到一封有关他们网站/服务器的安全问题/漏洞披露和报告相关的邮件时,即使是在非工作时间以外,也应该认真对待。几天之后才对提出的潜在问题作出回应,无疑是非常糟糕的。再次期间他们的不作为和自满,可能导致漏洞继续被利用。 最受欢迎的公司,应该有一个专门的电子邮件地址(入security@…)来接收安全问题和漏洞报告,甚至可能运营一个漏洞悬赏项目,以鼓励负责任的漏洞披露。 其次,如果一个公司能够认真的对待安全问题并正确的实施安全策略,他们应该会很轻松的回答我邮件中提到的几个问题。无法回答这些基本问题,只能说他们缺乏对基本安全基础的理解。 例如,如果一个企业对他们正在实施的存储密码的安全策略有信心,他们应该会毫不犹豫的透露密码加密的方法,因为如果它们是安全的,就没什么可担心的。如果涉及到安全问题不能直接给你答案,原因要么是他们不知道(可能程序是外包的,而且没做检查),要么是他们自己也无法确信是否正确存储了密码。 所有39家公司,我仅收到了有限的几个回复。其中只有Abundance这一家公司很快就对邮件中的问题逐个进行了解答。另外几家回复,要么含糊其辞,要么认为这样的调查是愚蠢的;有一家询问我是否是投资机构,在得到否定的答复之后,拒绝回答相关问题,尽管我声明是否是投资者与他们是否回答这些问题之间没有关联。 所有的39家机构,仅有两家平台表示自己经过了外部机构的安全评估。

结论

分析表明,39家P2P借贷公司都存在一些安全漏洞,严重程度各不相同。不过这些确定的安全缺陷都可以很容易的得到解决。 事实上,整个英国P2P行业都存在许多类似的基本的安全问题,这让我怀疑到底这些P2P企业内部对安全问题有多少专业的理解? 很多较小的P2P平台都是由非常小的团队管理的,有些由2~3名员工组成。周一到周五标准的办公时间,一些公司的网站开发完全由外部第三方团队承接,而缺少适当的安全评估和必要的安全审查。 对这39家P2P网站在一些安全方面的广泛评估进行总结,主要得出以下结论: 很明显,许多P2P公司缺少专门的内部安全专业知识储备,也没有能力迅速和有效的应对安全问题或事件。 鉴于这些基本安全措施的缺失,很难证明这些公司经历过专业的独立的第三方安全审计。 一个安全漏洞可能给企业资金、费用、名誉带来不可估量的损失,TalkTalk公司的教训值得吸取。 对于用户而言,可能会通过P2P借贷平台获得令人羡慕的投资回报率或一个非常有竞争力的贷款利率,不过请记住: P2P平台不在政府的金融服务补偿计划(FSCS)的范畴。投资者的资金处于危险之中,可能失去一些。 鉴于P2P平台经营的业务性质(金融交易),许多P2P公司尚未表现出与此相应的足够的安全能力。用户的个人信息和财务细节可能不像你们认为的那么安全。 悲观估计,英国P2P公司由于对安全的藐视和自满的态度而遭遇严重的信息泄露事件,只是一个时间问题。 我真诚的希望这些事情不会发生,希望通过这个帖子“唤醒”并回复这些公司加强安全规范。同时也希望可以启发这些平台的借款人和投资者,如果你是其中的一员,我鼓励你去挑战这些网站对安全问题的处理方式。  

文章来源:isecguy,本文由MottoIN小编翻译并整理,转载请注明来自MottoIN

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...