“交5000元就停止封站”,中小P2P平台频繁遭遇敲诈勒索,成为不法黑客攻击重灾区(欧高国际货运代理)
■IT时报 吴雨欣
临近年末,金融理财机构迎来还贷、提现的高峰期,不法黑客们瞄准了这一时机,打起了中小型P2P平台的主意,并发起了一波又一波“勒索你绝不讲价”的恶意攻击。投资人一旦发现P2P平台被“黑”,网站无法正常登录,从而形成恐慌,对于平台的打击将是致命的,甚至可能引发资金链断裂,平台倒闭或跑路。
那么,P2P平台系统的互联网安全性如何把控?零壹财经研究总监李耀东的回答让人担心:“P2P平台没有安全等级的要求,一些自律组织采用的是信息安全标准,至于平台如何保障用户信息安全,主要靠自觉。”
不掌握源代码,部分平台近似“裸奔”
据《IT时报》记者了解,网贷平台系统的搭建成本从千元至百万不等,目前中小P2P平台多采用十万元左右的系统,如果多家P2P平台使用同一服务商开发的软件系统,黑客很可能利用同一漏洞攻击多家平台。
“大部分中小互联网金融公司购买系统价格在6万元至20万元之间 ,但是系统掌握在别人手上,没有源码,不是什么好事。”周流根说。
12月1日,记者分别拿到P2P系统服务商——融都科技股份有限公司和晓风安全网贷系统的报价。融都科技的网贷云标准版和专业版分别是12.8万元和16.8万元,如果平台需要资金托管系统则另加3万元,这两款系统均不提供源代码开源,而提供源代码开源的定制版是50万起。晓风网贷的标准版、增强版、极致版的价格分别是16.8万元、18.8万元、20.8万元,平台如果需要PC开源授权,需额外支付12万元。
因为购买源代码需要额外一笔资金,许多中小互联网公司只是购买系统,再加上技术力量薄弱,还会把技术外包,主动性很差,近似“裸奔”。
“P2P平台有大量的用户信息,业务流程中也包含大量直接接触到资金的环节,黑客可以利用系统漏洞获取管理员账号权限,盗取用户资金。如果多家平台均使用同一服务商系统,可能存在利用同一漏洞攻击多家平台的可能。”网贷之家CEO石鹏峰告诉《IT时报》记者。
零壹财经研究总监李耀东也向记者表示:“P2P平台系统的安全性普遍较差是被黑客紧盯的重要原因,要降低风险只能加大投入。”去年,晓风网贷就曾被爆,因系统漏洞被黑客攻击,上百家P2P平台受影响,20多家平台因此倒闭。
使用盗版软件导致平台信息泄露
除了系统本身漏洞问题,互联网金融公司低价购买的盗版软件系统,也会轻易被黑客攻破,导致平台数据丢失,用户信息泄露。
很多系统服务商的软件被盗版后在网上贱卖,有些网贷平台图便宜便购买了这些盗版系统,而盗版者对软件无力维护,一旦系统在漏洞防护或技术维护上出现问题,都是灾难性的,平台数据、用户信息都会泄露。”从利波说。
这些被盗取的数据短期内不会在网上公布,而是被多次转手,交易对象多是网贷平台等金融投资行业。这也难怪,有些P2P平台的客户总是抱怨被贵金属、网贷平台、保险行业的推销电话骚扰。
至于中小P2P平台的系统安全性能到底如何?可以与银行搭建的P2P平台做个对比。吴宇告诉《IT时报》记者:“银行一般会采用集群式架构搭建借贷平台来降低成本,但网络架构肯定十分注重防攻能力建设,安全系数要高于一般互联网公司。”
吴宇曾在一次行业论坛上透露,2014年下半年,银监会曾经对国内银行业做过一次安全扫描,结果发现了20多万次高危探测,15000多次攻击。银行业尚且如此,没有信息安全标准、保障用户信息靠自律的P2P平台安全性能如何可想而知。