中小P2P平臺安全普遍堪憂 盜版軟體致資訊洩露
- 發佈時間:2015-12-08 10:55:20 來源:環球網 責任編輯:畢曉娟
臨近年末,金融理財機構迎來還貸、提現的高峰期,不法駭客們瞄準了這一時機,打起了中小型P2P平臺的主意,併發起了一波又一波“勒索你絕不講價”的惡意攻擊。 投資人一旦發現P2P平臺被“黑”,網站無法正常登錄,從而形成恐慌,對於平臺的打擊將是致命的,甚至可能引發資金鏈斷裂,平臺倒閉或跑路。
“交5000元就停止封站”,中小P2P平臺頻繁遭遇敲詐勒索,成為不法駭客攻擊重災區
那麼,P2P平臺系統的網際網路安全性如何把控?零壹財經研究總監李耀東的回答讓人擔心:“P2P平臺沒有安全等級的要求,一些自律組織採用的是資訊安全標準,至於平臺如何保障用戶資訊安全,主要靠自覺。”
防護成本比被勒索金額還要高
11月30日,這已是好借好貸P2P平臺連續第五天遭遇駭客DDoS流量攻擊,無奈之下,好借好貸在其官網發佈了網站維護的公告。
時間回到11月26日上午,好借好貸的客服人員突然收到一名駭客發來的QQ消息:“我們要封你們網站,通知你們老闆聯繫我。”沒等客服反應過來,平臺的網站就已無法打開。駭客的要求很簡單,交5000元人民幣就停止封站,不能討價還價,不給也沒關係,大家慢慢耗著。
至於為什麼駭客只勒索5000元?好借好貸負責人周流根告訴《IT時報》記者:“通常勒索金額不滿6000元不能立案,對方正是鑽這個空子。”
原本,好借好貸對於DDoS流量攻擊是有防範機制的,服務提供方是大名鼎鼎的阿裏雲。可被攻擊後阿裏雲通知稱,好借好貸平臺IP受到的攻擊流量已超雲盾DDoS攻擊基礎防護的頻寬峰值,伺服器所有訪問已被遮罩,建議平臺購買DDoS高防服務,保障伺服器的正常運作。
“阿裏雲高防服務的保底防護攻擊頻寬峰值是20G,價格每月16800元,比駭客勒索的金額還高。阿裏雲收費太貴了,小平臺得把錢花在刀刃上。”周流根無奈地説道。
中小平臺支付贖金、息事寧人
為難的不僅是好借好貸,對於所有中小P2P平臺來説,防範駭客DDoS攻擊都是一筆不菲的費用。今年7月,雙乾支付遭遇不明駭客攻擊,為了捍衛平臺的尊嚴,雙乾支付選擇使用雲盾DDoS防護服務,結果僅3小時就花去了16萬元。
正因為網際網路安全防護花費遠遠高於駭客勒索的金額,所以許多資金實力不強的中小平臺常常會選擇支付對方索要的敲詐金額,息事寧人。不法駭客也正是看準了中小P2P平臺不捨得花大錢,又不太願意對外聲張的心理,頻頻發動攻擊。周流根透露,就在好借好貸被攻擊後,該駭客組織轉而又攻擊了一家名叫小富金融的P2P平臺。
為了應對駭客攻擊,好借好貸平臺增加了四台伺服器、同時啟用三個IP,才使網站恢復正常。周流根告訴記者:“雖然擋住了駭客10G的流量攻擊,但採用增加防火牆的方式抵禦攻擊耽誤了太長時間,平臺損失遠不止5000元。”也正是因為這次的攻擊,該平臺決定摒棄第三方系統,投資升級全新的系統。
平臺建設投入普遍不足
“目前,多數中小型P2P平臺只能抵禦小規模入侵,對於10G以上的DDoS入侵幾乎無力抵抗。”交通銀行上海分行資訊技術部總經理吳宇告訴《IT時報》記者。吳宇算了筆賬,購買1G頻寬年費用約為30萬元,如果平臺遇到的攻擊是30G,自己買頻寬抵禦的話,一年投資將達900萬元。對於中小平臺而言,如此額度的技術投入幾乎是不可能的。
此外,駭客攻擊除能引起系統癱瘓外,還可將數據惡意修改、洗劫一空。吳宇告訴記者:“駭客通過申請賬號、篡改數據、冒充投資人進行惡意提現甚至資金被盜事件也曾發生過。”
“遭受攻擊時,95%以上的P2P平臺對客戶資訊安全執行力為零,中小型P2P平臺的資金基本都用來做市場推廣,對他們而言,活下來是首要任務,技術人員的培養及系統的開發維護投入明顯不足。”雙乾支付運營總監從利波説。
一位P2P平臺負責人告訴《IT時報》記者,其平臺一年在機房內的投入在10萬元左右。但據吳宇介紹,目前,中小型網際網路企業IT基礎設施投入應該在100至300萬元,大型平臺的投入在千萬元左右。
不掌握源代碼,部分平臺近似“裸奔”
據《IT時報》記者了解,網貸平臺系統的搭建成本從千元至百萬不等,目前中小P2P平臺多采用十萬元左右的系統,如果多家P2P平臺使用同一服務商開發的軟體系統,駭客很可能利用同一漏洞攻擊多家平臺。
“大部分中小網際網路金融公司購買系統價格在6萬元至20萬元之間 ,但是系統掌握在別人手上,沒有源碼,不是什麼好事。”周流根説。
12月1日,記者分別拿到P2P系統服務商——融都科技股份有限公司和曉風安全網貸系統的報價。融都科技的網貸雲標準版和專業版分別是12.8萬元和16.8萬元,如果平臺需要資金託管系統則另加3萬元,這兩款系統均不提供源代碼開源,而提供源代碼開源的定製版是50萬起。曉風網貸的標準版、增強版、極致版的價格分別是16.8萬元、18.8萬元、20.8萬元,平臺如果需要PC開源授權,需額外支付12萬元。
因為購買源代碼需要額外一筆資金,許多中小網際網路公司只是購買系統,再加上技術力量薄弱,還會把技術外包,主動性很差,近似“裸奔”。
“P2P平臺有大量的用戶資訊,業務流程中也包含大量直接接觸到資金的環節,駭客可以利用系統漏洞獲取管理員賬號許可權,盜取用戶資金。如果多家平臺均使用同一服務商系統,可能存在利用同一漏洞攻擊多家平臺的可能。”網貸之家CEO石鵬峰告訴《IT時報》記者。
零壹財經研究總監李耀東也向記者表示:“P2P平臺系統的安全性普遍較差是被駭客緊盯的重要原因,要降低風險只能加大投入。”去年,曉風網貸就曾被爆,因系統漏洞被駭客攻擊,上百家P2P平臺受影響,20多家平臺因此倒閉。
使用盜版軟體導致平臺資訊洩露
除了系統本身漏洞問題,網際網路金融公司低價購買的盜版軟體系統,也會輕易被駭客攻破,導致平臺數據丟失,用戶資訊洩露。
“很多系統服務商的軟體被盜版後在網上賤賣,有些網貸平臺圖便宜便購買了這些盜版系統,而盜版者對軟體無力維護,一旦系統在漏洞防護或技術維護上出現問題,都是災難性的,平臺數據、用戶資訊都會洩露。”從利波説。
這些被盜取的數據短期內不會在網上公佈,而是被多次轉手,交易對象多是網貸平臺等金融投資行業。這也難怪,有些P2P平臺的客戶總是抱怨被貴金屬、網貸平臺、保險行業的推銷電話騷擾。
至於中小P2P平臺的系統安全性能到底如何?可以與銀行搭建的P2P平臺做個對比。吳宇告訴《IT時報》記者:“銀行一般會採用集群式架構搭建借貸平臺來降低成本,但網路架構肯定十分注重防攻能力建設,安全系數要高於一般網際網路公司。”
吳宇曾在一次行業論壇上透露,2014年下半年,銀監會曾經對國內銀行業做過一次安全掃描,結果發現了20多萬次高危探測,15000多次攻擊。銀行業尚且如此,沒有資訊安全標準、保障用戶資訊靠自律的P2P平臺安全性能如何可想而知。