新聞源 財富源

2024年12月19日 星期四

駭客盯上網際網路金融 八成P2P平臺受攻擊

  • 發佈時間:2015-02-03 10:06:00  來源:環球網  作者:佚名  責任編輯:畢曉娟

  “剛剛上線一個月,我們就被駭客盯上了。”新興P2P網貸平臺普惠無憂CEO曾雲鋒説。近日,駭客採取惡意訪問等流量攻擊形式,一度導致網站打開緩慢,經該公司工程師3天的防禦才迫使對方無功而返。

  這僅是整個行業與駭客博弈的冰山一角。有數據顯示,截至去年11月,中國已有165家P2P平臺由於駭客攻擊造成系統癱瘓、數據被惡意篡改甚至倒閉。

  網站安全服務商安全寶CEO馬傑表示,中國整個網站安全水準都比較低,網際網路金融由於自身的價值很大,風險性相對顯得突出,特別是初創公司,團隊過多把精力放在業務創新層面,忽略了資訊安全的建設,造成了駭客的可乘之機。

  曾雲鋒認為,許多P2P網貸通常不是自己研發的系統,而是直接購買廉價的網站模板,幾千、幾萬元錢就能買一套,駭客對於其代碼和漏洞都比較熟悉,很容易成為被攻擊的對象,而且一家被攻破之後,剩下的就只是時間的問題。

  據悉,某知名投資公司曾對100家P2P網貸平臺調研後發現:90%以上的P2P平臺都是使用模板網站。到淘寶網搜索“網貸平臺”或“P2P網貸”,跳出來的頁面充斥著從幾百元到幾千元不等的“最新P2P借貸平臺”、“P2P借貸平臺源碼”等商品。

  而根據曾雲鋒介紹,自主研發平臺系統的成本較高,約為購買模板的20—30倍。

  在日前舉辦的“金融o互聯跨界融合2015網際網路金融幹貨分享”沙龍上,人人貸CIO藍晏翔還曝光了行業很多低級安全漏洞。“我拿一個筆記型電腦在他公司門口,可能蹲一下公司就能拿到所有數據了,因為他也沒有做準入,WIFI密碼永遠不變,蹲上一段時間就能夠拿到他們的財務等等資訊了,其實這個事情很簡單,但是總是會被忽視。”藍晏翔説。

  一個具有諷刺意味的情況是,網貸平臺安全上的漏洞還被投資公司用來做投資前的盡職調查。據透露,有投資公司在接觸某網貸平臺時,在看到後者的商業計劃書之前,就已經通過其伺服器在雲端將其核心財務數據了解過了。

   八成平臺曾受攻擊

  “與整體網站相比,網際網路金融網站的安全水準也不是特別低,但是它自身的金融屬性決定了含有很高的商業價值,所以就特別受到駭客關注。”馬傑説。

  曾雲鋒告訴記者,有市場研究機構數據顯示,高峰時期,中國80%以上的平臺均受到過不同程度的駭客攻擊,數十家平臺因為駭客攻擊而倒閉,“駭客攻擊導致網站癱瘓,進而引發用戶恐慌,産生擠兌潮,這對平臺而言是非常致命的”。

  馬傑表示,駭客攻擊P2P網貸平臺開始是直接盜取資金,後來發現盜取資金太容易被發現,就採取更隱藏的方式,盜取數據,都是與身份、銀行卡等相關的核心數據,不僅不容易被發現,即使發現了也難追查。“駭客攻擊的另一種利益訴求則是勒索,許多知名網貸公司都曾被索要保護費,有些公司為了省事真交了錢。”馬傑還説,駭客索要1000元案例都曾發生過,從金額來看,對方不像是職業駭客,也從側面反映出行業安全防禦能力有多低。

  也有部分駭客攻擊行為來自競爭對手,發生在人人貸身上的幾次駭客攻擊事件就有證據表明是來自競爭對手的惡意攻擊。“駭客提出利益訴求也是需要條件的,就是攻擊效果出來了,比如你網站癱瘓了的時候。我們平臺連續被攻擊了3天,始終沒被攻破,駭客攻擊也是需要成本的,不能一直這麼耗著,駭客這才離開,也就沒有提出利益訴求。”曾雲鋒透露。

  安全機制和意識是關鍵

  經歷此次駭客攻擊事件之後,曾雲鋒還總結了應對駭客攻擊的防範措施公佈在官網供行業借鑒,包括在有能力情況下購置主流硬體防火牆、構建分佈式系統以及購買第三方的CDN服務、流量清洗服務等安全服務。“除了系統建設,還要建立完善的安全機制,資訊許可權分級、數據實時備份、系統24小時預警等,包括相應的安全人員配備。”曾雲鋒説,部分創業公司甚至不知道安全工程師是做什麼的,資訊安全崗位的缺失直接反映了其資訊安全的漏洞。

  不過,曾雲鋒強調説,“沒有100%的安全,我們做了這麼多安全措施,也只是拖延駭客攻破的時間。但這就已經足夠了,在這些安全措施換取到的寶貴時間裏,我們可以抓緊研究後續的應急措施。”

  藍晏翔認為,應對資訊安全威脅,P2P網貸平臺除了要加強系統建設和流程建設,還需要員工提高安全意識,養成良好習慣。

  馬傑也比較看重安全意識在資訊安全中的重要地位,“最有效的安全都是不用花錢的,安全最重要的原則是你要有安全意識,最推薦的安全手段是做數據備份,這兩條都是不用花錢的,但是很多平臺,只有經歷了血淋淋的教訓,才會意識到這個問題”。

熱圖一覽

高清圖集賞析

  • 股票名稱 最新價 漲跌幅