黑客向P2P平台下手 P2P平台遭遇“黑客门”事件屡见不鲜

  自从尝试P2P投资理财,一航(化名)每天总会抽空登录自己使用的各个网贷平台查看账户资金情况。用他的话说,“看看才踏实”。

  尽管“某P2P平台卷款跑路”、“某P2P平台因网站漏洞无法挤兑”等有关P2P行业的负面新闻不绝于耳,但一航还是相信自己每天都关注的这些网贷平台不会触雷。

  直到8月9日下午,在其有资金投入的网贷平台之一金海贷无法登录时,一航才意识到:这个行业可能处处是雷,其中有些雷还是黑客布下的。

  金海贷于8月9日发布公告:“平台于今天下午16:30左右受黑客DDOS攻击,造成网站暂时不能正常访问。给各位投友带来不便,我们深表歉意!”

  金海贷相关负责人对法治周末记者表示,平台已经在8月10日晚上23:00左右恢复正常,网站数据库通过实时备份,所有用户的信息和资金都十分安全。

  然而,此次金海贷被黑客袭击并非孤例,自去年以来,P2P平台遭遇“黑客门”事件屡见不鲜:2013年10月,人人贷发现个别用户注册账户时发生身份信息已被黑客占用的情况;2013年12月,广东地区多家P2P平台(包括e速贷、通融易贷、快速贷、融易贷、融信网等)集中被黑;2014年1月,拍拍贷、人人贷、好贷网等多家P2P平台遭黑客恶意流量攻击……

  用户信息、资金安全被“盯梢”

  黑客们到底盯上了P2P平台的哪些资源?

  在中国社会科学院对外经贸国际金融研究中心副主任袁善祥看来,P2P网贷平台本质上是融资平台,上面沉淀着庞大的客户数据和资金交易额,对于黑客来说,这无疑是巨大的诱饵。

  “P2P平台含有大量具有敏感度的交易数据,如投资人资料、资金记录、银行卡信息等,黑客窃取用户信息的目的可能有三种:其一,非法调查机构、私人侦探等机构进行信息调查,调取客户信息;其二,下载客户数据及交易记录出售获利;其三,修改客户信息,造成交易混乱。”袁善祥告诉法治周末记者。

  记者在乌云漏洞平台上注意到,白帽子“路人甲”于近日发布的漏洞报告“P2P网贷平台生金所用户信息泄露”显示,黑客通过修改网站参数,可以扫描出该网站所有用户的账号信息,进而利用参数漏洞能够获取用户身份证件、手机号码、家庭住址等信息,甚至操作用户账户内余额进行投资。

  除了通过窃取信息、资金获利外,一些以敲诈为目的或以攻击为乐的黑客也会主动发起攻击。

  网贷行业门户网贷天眼副总裁袁涛表示,网贷天眼在今年3月21日遭受黑客攻击的第二天,黑客曾向管理员发出敲诈信息,要求转账五万元到其支付宝[微博]账户,否则将持续攻击。随后,网贷天眼报警。

  “有些黑客攻击来自平台对手的恶意竞争,用攻击导致对方系统瘫痪,无法运营,对方平台的投资者因此产生不安,要求提前变现等,从而达到扰乱对方平台正常经营的目的,还能进一步实现客户资源的开发和转化。”袁善祥谈道。

  一把钥匙打开多个同样的锁

  网贷中心创始人蒋正认为,有些平台标榜安全性高,实则漏洞百出,表现在硬件、P2P系统、人才以及安全意识等方面。

  “由于成本受限,目前行业自主开发系统软件的平台数量不多。P2P平台在技术力量薄弱的情况下会委托系统开发商进行数据托管、系统维护,一旦数据库不由P2P平台自己掌控,就会面临客户资料泄露、资金流动失误等潜在风险。”蒋正谈道。

  记者在淘宝网[微博]搜索“P2P网贷系统模板”后发现,模板定价在几百元到几十万元不等。其中较多的是一款名为“绿麻雀系统”的P2P网贷程序。记者从多个卖家的描述中看到,使用该系统的网贷平台,包括融易信、易天贷、西部聚财、大地贷、盛世汇盈、雪山贷、国安贷等几十家网贷企业。

  “采用模板的平台是黑客指向性攻击的重灾区,网贷企业购置通用平台模板,稍加修改后使用,就像装了同样的锁,别人用一把钥匙就能轻易打开门。”袁善祥认为通用模板是导致P2P平台易受攻击的原因之一。

  蒋正认为,黑客攻击P2P平台最常见的方式是DDOS攻击,通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。简单说,是指通过网络过载来干扰甚至阻断正常的网络通讯,通过向服务器提交大量请求,使服务器超负荷崩溃。

  上述金海贷相关负责人告诉记者,金海贷网站遭到的是黑客30G高流量攻击程度的DDOS攻击,所谓流量攻击都是按每秒的流量算的,很多机房的总出口带宽都不足30G,而机房最高的防火墙集群一般都才30G,国内的机房防火墙一般是在20G左右。

  请第三方安全机构“保驾护航”

  中国互联网金融诚信联盟首席律师肖飒认为,P2P网贷系统只有确保无漏洞,才能保障网贷平台的安全稳定和投资者的收益。“平台一定要重视网络安全,要有意识地依照网络安全的基本要求,及时发现网站漏洞,防止黑客攻击。”肖飒说。

  那么,P2P平台如何才能确保无漏洞,维护网络安全呢?

  蒋正从技术角度指出,P2P平台应该实施服务器集群与分布管理,增强硬防火墙,流量清洗等安全策略,加强对平台的不间断监测,建立高效预警机制;保持对平台的更新升级频率和漏洞的巡查修复。

  “应该让专业的人做专业的事。P2P平台可以依托专业的技术外包公司解决技术安全问题,保证数据实时异地备份,确保被攻击后数据不丢失。”蒋正认为,借助第三方安全服务机构进行独立和专业的渗透检测,可以避免P2P平台的内部力量不足和非独立性。

  袁善祥提示网贷平台,如果发生黑客袭击事件,网贷企业应做好受攻击后的客户安抚和解释工作,防范引发集中提现、提前兑付等系统性风险。

  “金海贷网站被黑之后,很多投资人因打不开网页而恐慌,不断打客服电话进行咨询,当时公司上下全体员工轮换值班,在QQ群告知投资人当前事件的进展状况,尽量做到安抚投资者。”金海贷相关负责人谈道。

  在庆幸其在金海贷网站的投资有惊无险之余,一航建议P2P平台可以考虑组建追击黑客的安全联盟,在网贷中心、网贷天眼等第三方平台的显眼处贴出黑客通缉令,征集赏金猎人。

  “奖金由网贷平台认捐,当认捐的网贷平台发现被黑客攻击后,可以在第三方平台发布通缉令,等抓到黑客了,网贷平台再根据自己认捐的钱每次提出一定比例的金额付给抓住黑客的赏金猎人。”一航解释道。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:德国将建全球第一加密大国