詳解網際網路金融平臺三大安全隱患
- 發佈時間:2015-02-16 08:58:49 來源:東方網 責任編輯:張明江
投資者們關注標的是否真實、網貸平臺會不會跑路,對於網際網路金融平臺的技術安全卻不了解,一些網際網路金融創業公司早期並未意識平臺技術安全的重要性,待問題爆發之後才開始警醒,往往為時已晚。
從傳統的攻擊手段來看,近幾年並沒有特別翻新的手段出現,基本上還是SQL注入、XSS、文件上傳、遠端文件執行、Web掃描、DDoS攻擊等,哪個行業今天比較火、關注較多,受到的攻擊也越多。
目前網際網路金融平臺的隱患可以歸納為三點:
一是資金本身存在風險
平臺有資金流動,就會被人盯著,有的平台資金總量非常大,除了法幣,還有虛擬貨幣,比如火幣網、OKcoin、比特幣中國這些比特幣交易平臺,本身具有的價值就非常大,風險也大。
“2014年國外最大的比特幣交易平臺Mt.Gox,因為駭客入侵偷走了價值20多億人民幣的比特幣,最終導致平臺倒閉。P2P網貸平臺交易的是人民幣,駭客盜取人民幣,公安機關有辦法偵破案件、追回損失,但是比特幣這類虛擬貨幣,被盜就是被盜了,虛擬貨幣的匿名性和去中心化讓警方難以找到。” 安全寶創始人馬傑介紹,資金本身有風險。
二是黑色産業鏈會盯上網際網路金融平臺的大量用戶資訊
如今動錢容易被抓,駭客就選擇動資訊,這些用戶資訊有很多途徑去變現。首先是競爭對手的需求,現在網際網路金融平臺眾多、競爭激烈,大家都意識到用戶資訊的重要性,這些數據被競爭對手掌握,對手一方面了解哪些用戶有資金購買P2P網貸産品,另一方面能看到哪些客戶需要錢,這些資訊收集的能力都是網際網路金融企業的核心業務能力,如果有人可以通過一些簡單的手段獲得這些資訊,實際上是在降低自己平臺的運營成本、增加商業機會。
這讓一些地下黑色産業鏈找到了“商機”,數據進入到一些黑色産業鏈的流程裏面,比如最後被一些騙子收購,用來做欺詐之類的違法事件。
三是各家平臺之間的競爭帶來的技術攻擊風險
在馬傑看來,這類攻擊的訴求是:我並不想要你的東西,或者你的平臺技術比較好,我沒有發現明顯漏洞,那我就用一些暴力型的流量攻擊手段,目的是讓用戶無法訪問你的網站,競爭對手沒辦法開門做生意。
針對隱患,平臺的安全保護主要建立在幾方面:
最典型的情況是,提供安全防護服務的公司為平臺檢查網站漏洞。在網站授權的情況下,模倣駭客的思路對網站進行模擬入侵,幫助網站尋找漏洞和安全風險。
其次是日常檢查,每天網際網路金融平臺都有無數人來訪問,其中有正常的訪問,也有駭客攻擊,安全防護公司幫助平臺過濾掉攻擊訪問,阻斷駭客的滲透型攻擊。針對流量型攻擊,安全防護公司幫助把惡意流量遷移到自建的清洗中心進行清洗。
馬傑認為,中國網際網路頻寬特別貴,如果網際網路金融平臺想自己買頻寬來解決流量型攻擊的問題,這個成本是不可接受的。此外,監測每天新出現的安全事件,並且及時幫助網站解決。從事前、事中到日常等方面去做網際網路金融平臺的安全維護。