?“交5000元就停止封站”����,中小P2P平臺頻繁遭遇敲詐勒索,成為不法黑客攻擊重災區���。
?臨近年末,金融理財機構迎來還貸�����、提現的高峰期,不法黑客們瞄準了這一時機���,打起了中小型P2P平臺的主意,并發起了一波又一波“勒索你絕不講價”的惡意攻擊����。投資人一旦發現P2P平臺被“黑”,網站無法正常登錄,從而形成恐慌�,對于平臺的打擊將是致命的��,甚至可能引發資金鏈斷裂,平臺倒閉或跑路���。
?那么,P2P平臺系統的互聯網安全性如何把控����?零壹財經研究總監李耀東的回答讓人擔心:“P2P平臺沒有安全等級的要求��,一些自律組織采用的是信息安全標準,至于平臺如何保障用戶信息安全,主要靠自覺����?!?/font>
?防護成本比被勒索金額還要高
?11月30日��,這已是好借好貸P2P平臺連續第五天遭遇黑客DDoS流量攻擊�,無奈之下����,好借好貸在其官網發布了網站維護的公告。
?時間回到11月26日上午,好借好貸的客服人員突然收到一名黑客發來的QQ消息:“我們要封你們網站��,通知你們老板聯系我�����?!睕]等客服反應過來�,平臺的網站就已無法打開����。黑客的要求很簡單��,交5000元人民幣就停止封站,不能討價還價����,不給也沒關系����,大家慢慢耗著�。
?至于為什么黑客只勒索5000元?好借好貸負責人周流根告訴《IT時報》記者:“通常勒索金額不滿6000元不能立案,對方正是鉆這個空子。”
?原本,好借好貸對于DDoS流量攻擊是有防范機制的���,服務提供方是大名鼎鼎的阿里云。可被攻擊后阿里云通知稱����,好借好貸平臺IP受到的攻擊流量已超云盾DDoS攻擊基礎防護的帶寬峰值�����,服務器所有訪問已被屏蔽,建議平臺購買DDoS高防服務�����,保障服務器的正常運行��。
?“阿里云高防服務的保底防護攻擊帶寬峰值是20G���,價格每月16800元���,比黑客勒索的金額還高��。阿里云收費太貴了,小平臺得把錢花在刀刃上�����?���!敝芰鞲鶡o奈地說道����。
?中小平臺支付贖金、息事寧人
?為難的不僅是好借好貸��,對于所有中小P2P平臺來說�����,防范黑客DDoS攻擊都是一筆不菲的費用���。今年7月�,雙乾支付遭遇不明黑客攻擊�����,為了捍衛平臺的尊嚴����,雙乾支付選擇使用云盾DDoS防護服務���,結果僅3小時就花去了16萬元���。
?正因為互聯網安全防護花費遠遠高于黑客勒索的金額��,所以許多資金實力不強的中小平臺常常會選擇支付對方索要的敲詐金額�,息事寧人����。不法黑客也正是看準了中小P2P平臺不舍得花大錢,又不太愿意對外聲張的心理�,頻頻發動攻擊����。周流根透露�,就在好借好貸被攻擊后,該黑客組織轉而又攻擊了一家名叫小富金融的P2P平臺����。
?為了應對黑客攻擊���,好借好貸平臺增加了四臺服務器���、同時啟用三個IP���,才使網站恢復正常�。周流根告訴記者:“雖然擋住了黑客10G的流量攻擊��,但采用增加防火墻的方式抵御攻擊耽誤了太長時間�,平臺損失遠不止5000元�。”也正是因為這次的攻擊,該平臺決定摒棄第三方系統��,投資升級全新的系統�����。
?平臺建設投入普遍不足
?“目前���,多數中小型P2P平臺只能抵御小規模入侵�����,對于10G以上的DDoS入侵幾乎無力抵抗�����?��!苯煌ㄣy行上海分行信息技術部總經理吳宇告訴《IT時報》記者�。吳宇算了筆賬��,購買1G帶寬年費用約為30萬元����,如果平臺遇到的攻擊是30G��,自己買帶寬抵御的話��,一年投資將達900萬元。對于中小平臺而言�����,如此額度的技術投入幾乎是不可能的��。
?此外��,黑客攻擊除能引起系統癱瘓外,還可將數據惡意修改��、洗劫一空��。吳宇告訴記者:“黑客通過申請賬號�����、篡改數據�、冒充投資人進行惡意提現甚至資金被盜事件也曾發生過?����!?/font>
?“遭受攻擊時��,95%以上的P2P平臺對客戶信息安全執行力為零���,中小型P2P平臺的資金基本都用來做市場推廣��,對他們而言�����,活下來是首要任務,技術人員的培養及系統的開發維護投入明顯不足�����?���!彪p乾支付運營總監從利波說。
?一位P2P平臺負責人告訴《IT時報》記者�,其平臺一年在機房內的投入在10萬元左右�����。但據吳宇介紹,目前�����,中小型互聯網企業IT基礎設施投入應該在100至300萬元���,大型平臺的投入在千萬元左右���。
?不掌握源代碼����,部分平臺近似“裸奔”
?據《IT時報》記者了解���,網貸平臺系統的搭建成本從千元至百萬不等��,目前中小P2P平臺多采用十萬元左右的系統�����,如果多家P2P平臺使用同一服務商開發的軟件系統,黑客很可能利用同一漏洞攻擊多家平臺����。
?“大部分中小互聯網金融公司購買系統價格在6萬元至20萬元之間 ��,但是系統掌握在別人手上,沒有源碼,不是什么好事����?���!敝芰鞲f�����。
?12月1日����,記者分別拿到P2P系統服務商——融都科技股份有限公司和曉風安全網貸系統的報價�。融都科技的網貸云標準版和專業版分別是12.8萬元和16.8萬元�����,如果平臺需要資金托管系統則另加3萬元�����,這兩款系統均不提供源代碼開源��,而提供源代碼開源的定制版是50萬起。曉風網貸的標準版、增強版、極致版的價格分別是16.8萬元、18.8萬元、20.8萬元,平臺如果需要PC開源授權���,需額外支付12萬元。
?因為購買源代碼需要額外一筆資金,許多中小互聯網公司只是購買系統��,再加上技術力量薄弱�,還會把技術外包,主動性很差���,近似“裸奔”。
?“P2P平臺有大量的用戶信息����,業務流程中也包含大量直接接觸到資金的環節��,黑客可以利用系統漏洞獲取管理員賬號權限,盜取用戶資金�����。如果多家平臺均使用同一服務商系統���,可能存在利用同一漏洞攻擊多家平臺的可能�?��!本W貸之家CEO石鵬峰告訴《IT時報》記者����。
?零壹財經研究總監李耀東也向記者表示:“P2P平臺系統的安全性普遍較差是被黑客緊盯的重要原因,要降低風險只能加大投入��?��!比ツ?���,曉風網貸就曾被爆,因系統漏洞被黑客攻擊�,上百家P2P平臺受影響���,20多家平臺因此倒閉���。
?使用盜版軟件導致平臺信息泄露
?除了系統本身漏洞問題��,互聯網金融公司低價購買的盜版軟件系統,也會輕易被黑客攻破,導致平臺數據丟失����,用戶信息泄露����。
?“很多系統服務商的軟件被盜版后在網上賤賣���,有些網貸平臺圖便宜便購買了這些盜版系統��,而盜版者對軟件無力維護,一旦系統在漏洞防護或技術維護上出現問題���,都是災難性的,平臺數據���、用戶信息都會泄露?��!睆睦ㄕf。
?這些被盜取的數據短期內不會在網上公布�,而是被多次轉手���,交易對象多是網貸平臺等金融投資行業�����。這也難怪,有些P2P平臺的客戶總是抱怨被貴金屬�����、網貸平臺、保險行業的推銷電話騷擾��。
?至于中小P2P平臺的系統安全性能到底如何���?可以與銀行搭建的P2P平臺做個對比�����。吳宇告訴《IT時報》記者:“銀行一般會采用集群式架構搭建借貸平臺來降低成本��,但網絡架構肯定十分注重防攻能力建設,安全系數要高于一般互聯網公司��?!?/font>
?吳宇曾在一次行業論壇上透露,2014年下半年�,銀監會曾經對國內銀行業做過一次安全掃描,結果發現了20多萬次高危探測����,15000多次攻擊�����。銀行業尚且如此,沒有信息安全標準、保障用戶信息靠自律的P2P平臺安全性能如何可想而知。
