安全预警

          每天都有新的安全威胁产生，每天都有电脑遭受攻击，每天我们都收到很多安全求助信。我们将从这些求助信息中挑选出具有代表性的进行深入的分析和讨论，给出具有通用性质的解决方案。微博求助：http://weib*.c*m/cdx1983。

   现在人们的理财意识很高，一些财富公司也应运而生，先不说它们的项目是否可靠，仅安全防护就有不足之处。最近，有黑客发现某拥有60万用户的财富公司出现了弱口令漏洞，导致用户个人隐私、投资合同、转账凭证等敏感数据泄露。

技术分析

          白帽子 路人甲：家里有亲戚看了某财富公司的宣传单，很是心动准备投入一二五试试水，听说这事后就去网上了解一下该公司的口碑，暂无负面消息，不过募集的资金借给的是房地产公司，还是有点不放心，于是决定深入了解一下！用黑客工具随便测试了一些，居然发现2**.1*7.*1.*5/SignOnServlet处存在弱口令，用户名admin、密码axis2，于是在浏览器中输入2**.1*7.*1.*5/ axis2- admin/login，看到了许多敏感资料，再利用黑客工具远程上传木马取得网站后台控制权。

   在FTP文件夹中，共享了部分投资者的是身份证照片信息，这可是好东西，例如拿这种照片就可以开通新浪微博认证或者微信公众号，肆无忌惮地干一些不法勾当，如果有人追查就可以成功甩锅。

    在数据库中，发现60万份个人隐私，例如微信信息、理财账号、银行卡卡号、手机号、身份证号（这里保存了全部身份证照片，相比FTP中的身份证照片，这里的数量齐全）等敏感数据。这还不算完，最后找到了合同信息和转账凭证。个人看重的是合同信息，里面详细列举了资金的投资方向、期限和利率。从一方面来说，这么多人都真金白银的投入，看来公司是有实力的，但过高的利率也是一个隐患。

            总的来说，作为用户数量庞大的财富公司，在安全防护上还有待加强，不能让低级漏洞泄露用户的理财数据。

泄露个人隐私

读者点评

@风中秤：我们这边街上的财富公司都跑路了，财富公司良莠不齐，普通人根本分不清楚。

@林芮疆：理财网站有弱口令？这么不重视安全，把钱交给他们放心吗？