黑客盯上互聯(lián)網(wǎng)金融 八成P2P平臺受攻擊

申請免費試用、咨詢電話：400-8352-114

“剛剛上線一個月，我們就被黑客盯上了?！毙屡dP2P網(wǎng)貸平臺普惠無憂CEO曾云鋒說。近日，黑客采取惡意訪問等流量攻擊形式，一度導致網(wǎng)站打開緩慢，經(jīng)該公司工程師3天的防御才迫使對方無功而返。

這僅是整個行業(yè)與黑客博弈的冰山一角。有數(shù)據(jù)顯示，截至去年11月，中國已有165家P2P平臺由于黑客攻擊造成系統(tǒng)癱瘓、數(shù)據(jù)被惡意篡改甚至倒閉。

網(wǎng)站安全服務(wù)商安全寶CEO馬杰表示，中國整個網(wǎng)站安全水平都比較低，互聯(lián)網(wǎng)金融由于自身的價值很大，風險性相對顯得突出，特別是初創(chuàng)公司，團隊過多把精力放在業(yè)務(wù)創(chuàng)新層面，忽略了信息安全的建設(shè)，造成了黑客的可乘之機。

部分平臺接近裸奔

曾云鋒認為，許多P2P網(wǎng)貸通常不是自己研發(fā)的系統(tǒng)，而是直接購買廉價的網(wǎng)站模板，幾千、幾萬元錢就能買一套，黑客對于其代碼和漏洞都比較熟悉，很容易成為被攻擊的對象，而且一家被攻破之后，剩下的就只是時間的問題。

據(jù)悉，某知名投資公司曾對100家P2P網(wǎng)貸平臺調(diào)研后發(fā)現(xiàn)：90%以上的P2P平臺都是使用模板網(wǎng)站。到淘寶網(wǎng)搜索“網(wǎng)貸平臺”或“P2P網(wǎng)貸”，跳出來的頁面充斥著從幾百元到幾千元不等的“最新P2P借貸平臺”、“P2P借貸平臺源碼”等商品。

而根據(jù)曾云鋒介紹，自主研發(fā)平臺系統(tǒng)的成本較高，約為購買模板的20—30倍。

在日前舉辦的“金融o互聯(lián)跨界融合 2015互聯(lián)網(wǎng)金融干貨分享”沙龍上，人人貸CIO藍晏翔還曝光了行業(yè)很多低級安全漏洞。

“我拿一個筆記本電腦在他公司門口，可能蹲一下公司就能拿到所有數(shù)據(jù)了，因為他也沒有做準入，WIFI密碼永遠不變，蹲上一段時間就能夠拿到他們的財務(wù)等等信息了，其實這個事情很簡單，但是總是會被忽視?！彼{晏翔說。

一個具有諷刺意味的情況是，網(wǎng)貸平臺安全上的漏洞還被投資公司用來做投資前的盡職調(diào)查。據(jù)透露，有投資公司在接觸某網(wǎng)貸平臺時，在看到后者的商業(yè)計劃書之前，就已經(jīng)通過其服務(wù)器在云端將其核心財務(wù)數(shù)據(jù)了解過了。

八成平臺曾受攻擊

“與整體網(wǎng)站相比，互聯(lián)網(wǎng)金融網(wǎng)站的安全水平也不是特別低，但是它自身的金融屬性決定了含有很高的商業(yè)價值，所以就特別受到黑客關(guān)注。”馬杰說。

曾云鋒告訴記者，有市場研究機構(gòu)數(shù)據(jù)顯示，高峰時期，中國80%以上的平臺均受到過不同程度的黑客攻擊，數(shù)十家平臺因為黑客攻擊而倒閉，“黑客攻擊導致網(wǎng)站癱瘓，進而引發(fā)用戶恐慌，產(chǎn)生擠兌潮，這對平臺而言是非常致命的”。

馬杰表示，黑客攻擊P2P網(wǎng)貸平臺開始是直接盜取資金，后來發(fā)現(xiàn)盜取資金太容易被發(fā)現(xiàn)，就采取更隱藏的方式，盜取數(shù)據(jù)，都是與身份、銀行卡等相關(guān)的核心數(shù)據(jù)，不僅不容易被發(fā)現(xiàn)，即使發(fā)現(xiàn)了也難追查。

“黑客攻擊的另一種利益訴求則是勒索，許多知名網(wǎng)貸公司都曾被索要保護費，有些公司為了省事真交了錢?！瘪R杰還說，黑客索要1000元案例都曾發(fā)生過，從金額來看，對方不像是職業(yè)黑客，也從側(cè)面反映出行業(yè)安全防御能力有多低。

也有部分黑客攻擊行為來自競爭對手，發(fā)生在人人貸身上的幾次黑客攻擊事件就有證據(jù)表明是來自競爭對手的惡意攻擊。

“黑客提出利益訴求也是需要條件的，就是攻擊效果出來了，比如你網(wǎng)站癱瘓了的時候。我們平臺連續(xù)被攻擊了3天，始終沒被攻破，黑客攻擊也是需要成本的，不能一直這么耗著，黑客這才離開，也就沒有提出利益訴求?！痹其h透露。

安全機制和意識是關(guān)鍵

經(jīng)歷此次黑客攻擊事件之后，曾云鋒還總結(jié)了應(yīng)對黑客攻擊的防范措施公布在官網(wǎng)供行業(yè)借鑒，包括在有能力情況下購置主流硬件防火墻、構(gòu)建分布式系統(tǒng)以及購買第三方的CDN服務(wù)、流量清洗服務(wù)等安全服務(wù)。

“除了系統(tǒng)建設(shè)，還要建立完善的安全機制，信息權(quán)限分級、數(shù)據(jù)實時備份、系統(tǒng)24小時預警等，包括相應(yīng)的安全人員配備。”曾云鋒說，部分創(chuàng)業(yè)公司甚至不知道安全工程師是做什么的，信息安全崗位的缺失直接反映了其信息安全的漏洞。

不過，曾云鋒強調(diào)說，“沒有100%的安全，我們做了這么多安全措施，也只是拖延黑客攻破的時間。但這就已經(jīng)足夠了，在這些安全措施換取到的寶貴時間里，我們可以抓緊研究后續(xù)的應(yīng)急措施?！?o:p>

藍晏翔認為，應(yīng)對信息安全威脅，P2P網(wǎng)貸平臺除了要加強系統(tǒng)建設(shè)和流程建設(shè)，還需要員工提高安全意識，養(yǎng)成良好習慣。

馬杰也比較看重安全意識在信息安全中的重要地位，“最有效的安全都是不用花錢的，安全最重要的原則是你要有安全意識，最推薦的安全手段是做數(shù)據(jù)備份，這兩條都是不用花錢的，但是很多平臺，只有經(jīng)歷了血淋淋的教訓，才會意識到這個問題”。