P2P網貸平臺數據安全存隱憂
- 發佈時間:2015-04-15 00:32:41 來源:中華工商時報 責任編輯:張明江
新新貸CTO李冠峰:平臺想要發展長遠,首先確保用戶資訊不泄漏,其次就是絕不濫用用戶資訊。個人隱私問題是個大課題,能做到的就是不收集業務無關的隱私資訊,不收集客戶沒有授權的隱私資訊,對於收集到的資訊確保不外泄、不濫用。
銀客網副總裁李飛:
數據安全防護不能一勞永逸,需要不斷加強與升級更新軟硬體系統,才能切實保障用戶的核心利益不受損害。
日前,芝麻金融被爆出數據庫遭洩露,據了解,這些數據已經在網上流傳開來,可能導致千萬級用戶資金受影響。而芝麻金融方面也已坦承他們的後臺遭到駭客攻擊,並強調未出現任何用戶資金損失的情況。據了解,這些數據包括用戶姓名、身份證號、手機號、郵箱、銀行卡資訊等,一共有超過逾8千名用戶的資料,只需用人民幣充值兌換積分,即可在論壇上將這些數據全部下載。隨後,“白帽子”利用這些洩露數據做了測試後發現,全部都能成功登陸,並且很多賬戶內有幾十萬資金,加起來超過3千萬。
一朝被蛇咬,十年怕井繩。對於不少投資者而言,資訊洩露,意味著不安全,一旦公信力下降,對平臺來説是得不償失。芝麻金融是什麼原因造成駭客侵襲?侵襲後會對大眾産生什麼樣的影響?P2P網貸平臺應該如何保護資訊數據,才能讓大眾免於駭客侵襲?
對於網貸平臺而言,這是個亟待解決的問題。中華工商時報記者採訪了專家、從業者及專門負責技術的工程師。
數據:洩露去哪了?
一直通過P2P網貸平臺來理財的趙女士告訴記者,聽説平臺個人資訊數據洩露,第一時間來查詢了自己的平臺情況。“密碼多半相近,個人資訊數據洩露,後果不堪設想。”據了解,數據對於個人投資者而言,至關重要,相當於可以偷窺到所有的秘密。“數據只有高度保密,投資者才能放心。”趙女士告訴記者。
數據,作為金融的必需品,承載了用戶的部分機密。一旦機密資訊被泄,消費者很可能對其失去信心,轉而通過其他方式找到適合自己的資産理財平臺。據了解,自2013年P2P行業日益火爆以來,其遭遇駭客攻擊的頻次亦呈量級增加。目前,已有逾150家P2P網貸平臺受駭客攻擊造成系統癱瘓、數據惡意篡改等問題。
據技術數據工作人員介紹,目前只要破解賬號密碼,獲取管理員許可權,就可以獲得很多數據,或者通過攔截獲取數據包,也可以獲得數據。目前,技術的問題出現在哪?數據一旦洩露,去哪了?
專門負責技術的工程師告訴記者,目前數據在應用方面,更多的通過賣資源,形成産業鏈,篡改數據的用途很大,可以進行投票、偷錢、修改各種資訊。據悉,目前數據出現漏洞的反而是老的平臺,尤其是金融類、電商行業居多,它們涉及個人利益資金,容易形成很多的金融資訊安全。工程師介紹,目前時間跟網站的漏洞有關,破解技術需要看時間,有的只需要一週到一個月時間就能破解其網站漏洞。
據了解,從第三方IT系統處購買“模板”的P2P機構,是最容易成為被攻擊的標的。“因為駭客只需攻破一個“模板”,即可對數個乃至十數個的P2P系統平臺發起攻擊。”多位業內人士向記者介紹,目前中小型的P2P網貸機構中,花20萬-50萬“買模板”搭平臺的不在少數,部分機構的後臺則是外包給第三方機構運營,成本投入約70萬-100萬元。
銀客網副總裁李飛表示,一般來説支付與資金風險分為兩個方面,即用戶自行泄漏與平臺數據泄漏。用戶點擊釣魚網站,密碼被盜,非法攻擊等都有可能讓用戶在操作使用中洩露核心資訊,而平臺作為資訊聚集方,一旦系統安全防護不到位也有可能批量洩露用戶資料與數據。
對於任何的資訊化服務來説,數據安全與資金安全是最為核心的用戶權益,無論電子商務還是網際網路金融,支付手段與工具的發展使得用戶支付更加便利,但也的確帶來了一些潛在風險。
技術:把握技術敏感度
數據是金融的生命,在移動金融時代,數據即是生命。P2P網貸平臺數據技術如何?如何改變現狀?技術團隊的培育佔整個平臺費用支出的多少?在運營維護過程中,技術容易産生怎樣的問題?後臺技術的成本支出大概佔平臺費用支出多少?
“安全方面的投入佔平臺總投入的30%以上。”據新新貸CTO李冠峰介紹。
目前,網貸行業尚未出現監管,駭客們正是看準了一些中、小平臺,找到一個切入點,很容易將系統破解,從而將個人數據盜取,賣給網路數據的黑色商家。對投資者百害而無一利。
“毫不誇張地説,網貸平臺將客戶數據當做自己的生命線來對待。”李冠峰介紹,“目前,平臺的數據訪問採取嚴格分級制度,每個能訪問數據的人員訪問資訊範圍僅限工作職責所需。另外,平臺各個應用之間有防火牆,僅限配置為信任的通道訪問。除此之外,還要定期請網路安全公司進行滲透測試,防止開發人員的疏忽造成的漏洞。”
我們身處移動智慧的時代,歷經顛覆、瓦解、重構的産業模式,各種限制將會不斷被打破,變化或許就是新世界的新秩序。創新是平臺想要長期穩定發展的靈魂,李冠峰談到,“在技術方面,將始終注重技術創新。”新新貸聯合創新的網路安全公司,對新新貸的平臺進行全方位的保護,能夠抵禦大部分的DDoS的攻擊,並且邀請網路安全公司對公司平臺進行安全方面的滲透測試,儘量做到對已知的系統漏洞都有防護。
運維團隊訂閱安全技術網站的發佈,能夠對新發現的系統漏洞第一時間進行修護。在業務方面,只有技術人員始終保持對新技術的敏感度,在公司搭建的大數據平台中採用了多項世界先進的大數據處理技術,才能保證平臺的資訊安全。
李飛指出,目前我們處在資訊化充分應用的時代,作為平臺方必須加強自身系統安全防護級別,採用嚴格的認證與數據加密體系,並做好內部風險防範機制。作為P2P平臺來説,平臺數據與資金數據應相互隔離,才能有效保障平臺數據安全。
數據安全防護不能一勞永逸,需要不斷加強與升級更新軟硬體系統,才能切實保障用戶的核心利益不受損害。
應用數據做什麼?
沒有數據的金融的機構是沒有發展的,沒有數據的支援,網際網路金融將是無源之水、無本之木。金融機構並不缺乏金融數據,無論是用戶在存、投、保、消、貸等金融活動,在銀行、證券、基金、保險、信託、期貨等金融機構中潛移默化沉澱了海量的數據,但是我們的個人資訊數據都應用在哪?是否得到了廣泛的應用?
很多傳統的金融機構擔心網際網路不安全,正是因為其缺乏安全性,更要將安全性放在首當其衝的位置。事實上,金融機構是一個經營風險的機構,他賺取的是風險溢價。而網際網路的特點,開放、自由、分享、透明,確實比封閉的專網風險敞口要大。在新時代下,只有將二者聯合,才能實現其長遠、有序、積極的發展。P2P網貸平臺作為資訊仲介,想要走得更加長遠,更要因勢利導地駕馭風險,而不是因噎廢食、獨守一隅。
中國經濟和金融市場經歷了粗放型的快速成長期,現在要進入集約型的深耕期,目前越來越多的網際網路金融機構都已經意識到這一點並付諸實踐。
目前,我國尚且沒有出臺個人資訊保護法,在法律沒有明確的保護個人資訊的情況下,李冠峰介紹,目前對待用戶的數據,更多的是將心比心。想別人如何使用你自己的資訊,你就如何使用用戶的資訊。這正所謂人同此心,心同此理。
平臺在使用用戶資訊的時候,想要立足長遠,首先就是確保用戶資訊不泄漏,其次就是絕不濫用用戶資訊。個人隱私問題是個大課題,能做到的就是不收集業務無關的隱私資訊,不收集客戶沒有授權的隱私資訊,對於收集到的資訊確保不外泄、不濫用。
金融機構之於數據的使用,猶如人類之於火的使用。火帶來了文明,數據將文明演繹到我們生活的點點滴滴。把握數據浪潮,才能在未來發展中走得長遠。