臨近年末,金融理財(cái)機(jī)構(gòu)迎來(lái)還貸、提現(xiàn)的高峰期,不法黑客們瞄準(zhǔn)了這一時(shí)機(jī),打起了中小型P2P平臺(tái)的主意,并發(fā)起了一波又一波“勒索你絕不講價(jià)”的惡意攻擊。 投資人一旦發(fā)現(xiàn)P2P平臺(tái)被“黑”,網(wǎng)站無(wú)法正常登錄,從而形成恐慌,對(duì)于平臺(tái)的打擊將是致命的,甚至可能引發(fā)資金鏈斷裂,平臺(tái)倒閉或跑路。
“交5000元就停止封站”,中小P2P平臺(tái)頻繁遭遇敲詐勒索,成為不法黑客攻擊重災(zāi)區(qū)
那么,P2P平臺(tái)系統(tǒng)的互聯(lián)網(wǎng)安全性如何把控?零壹財(cái)經(jīng)研究總監(jiān)李耀東的回答讓人擔(dān)心:“P2P平臺(tái)沒(méi)有安全等級(jí)的要求,一些自律組織采用的是信息安全標(biāo)準(zhǔn),至于平臺(tái)如何保障用戶信息安全,主要靠自覺(jué)。”
防護(hù)成本比被勒索金額還要高
11月30日,這已是好借好貸P2P平臺(tái)連續(xù)第五天遭遇黑客DDoS流量攻擊,無(wú)奈之下,好借好貸在其官網(wǎng)發(fā)布了網(wǎng)站維護(hù)的公告。
時(shí)間回到11月26日上午,好借好貸的客服人員突然收到一名黑客發(fā)來(lái)的QQ消息:“我們要封你們網(wǎng)站,通知你們老板聯(lián)系我。”沒(méi)等客服反應(yīng)過(guò)來(lái),平臺(tái)的網(wǎng)站就已無(wú)法打開(kāi)。黑客的要求很簡(jiǎn)單,交5000元人民幣就停止封站,不能討價(jià)還價(jià),不給也沒(méi)關(guān)系,大家慢慢耗著。
至于為什么黑客只勒索5000元?好借好貸負(fù)責(zé)人周流根告訴《IT時(shí)報(bào)》記者:“通常勒索金額不滿6000元不能立案,對(duì)方正是鉆這個(gè)空子。”
原本,好借好貸對(duì)于DDoS流量攻擊是有防范機(jī)制的,服務(wù)提供方是大名鼎鼎的阿里云??杀还艉蟀⒗镌仆ㄖQ,好借好貸平臺(tái)IP受到的攻擊流量已超云盾DDoS攻擊基礎(chǔ)防護(hù)的帶寬峰值,服務(wù)器所有訪問(wèn)已被屏蔽,建議平臺(tái)購(gòu)買(mǎi)DDoS高防服務(wù),保障服務(wù)器的正常運(yùn)行。
“阿里云高防服務(wù)的保底防護(hù)攻擊帶寬峰值是20G,價(jià)格每月16800元,比黑客勒索的金額還高。阿里云收費(fèi)太貴了,小平臺(tái)得把錢(qián)花在刀刃上。”周流根無(wú)奈地說(shuō)道。
中小平臺(tái)支付贖金、息事寧人
為難的不僅是好借好貸,對(duì)于所有中小P2P平臺(tái)來(lái)說(shuō),防范黑客DDoS攻擊都是一筆不菲的費(fèi)用。今年7月,雙乾支付遭遇不明黑客攻擊,為了捍衛(wèi)平臺(tái)的尊嚴(yán),雙乾支付選擇使用云盾DDoS防護(hù)服務(wù),結(jié)果僅3小時(shí)就花去了16萬(wàn)元。
正因?yàn)榛ヂ?lián)網(wǎng)安全防護(hù)花費(fèi)遠(yuǎn)遠(yuǎn)高于黑客勒索的金額,所以許多資金實(shí)力不強(qiáng)的中小平臺(tái)常常會(huì)選擇支付對(duì)方索要的敲詐金額,息事寧人。不法黑客也正是看準(zhǔn)了中小P2P平臺(tái)不舍得花大錢(qián),又不太愿意對(duì)外聲張的心理,頻頻發(fā)動(dòng)攻擊。周流根透露,就在好借好貸被攻擊后,該黑客組織轉(zhuǎn)而又攻擊了一家名叫小富金融的P2P平臺(tái)。
為了應(yīng)對(duì)黑客攻擊,好借好貸平臺(tái)增加了四臺(tái)服務(wù)器、同時(shí)啟用三個(gè)IP,才使網(wǎng)站恢復(fù)正常。周流根告訴記者:“雖然擋住了黑客10G的流量攻擊,但采用增加防火墻的方式抵御攻擊耽誤了太長(zhǎng)時(shí)間,平臺(tái)損失遠(yuǎn)不止5000元。”也正是因?yàn)檫@次的攻擊,該平臺(tái)決定摒棄第三方系統(tǒng),投資升級(jí)全新的系統(tǒng)。
平臺(tái)建設(shè)投入普遍不足
“目前,多數(shù)中小型P2P平臺(tái)只能抵御小規(guī)模入侵,對(duì)于10G以上的DDoS入侵幾乎無(wú)力抵抗。”交通銀行上海分行信息技術(shù)部總經(jīng)理吳宇告訴《IT時(shí)報(bào)》記者。吳宇算了筆賬,購(gòu)買(mǎi)1G帶寬年費(fèi)用約為30萬(wàn)元,如果平臺(tái)遇到的攻擊是30G,自己買(mǎi)帶寬抵御的話,一年投資將達(dá)900萬(wàn)元。對(duì)于中小平臺(tái)而言,如此額度的技術(shù)投入幾乎是不可能的。
此外,黑客攻擊除能引起系統(tǒng)癱瘓外,還可將數(shù)據(jù)惡意修改、洗劫一空。吳宇告訴記者:“黑客通過(guò)申請(qǐng)賬號(hào)、篡改數(shù)據(jù)、冒充投資人進(jìn)行惡意提現(xiàn)甚至資金被盜事件也曾發(fā)生過(guò)。”
“遭受攻擊時(shí),95%以上的P2P平臺(tái)對(duì)客戶信息安全執(zhí)行力為零,中小型P2P平臺(tái)的資金基本都用來(lái)做市場(chǎng)推廣,對(duì)他們而言,活下來(lái)是首要任務(wù),技術(shù)人員的培養(yǎng)及系統(tǒng)的開(kāi)發(fā)維護(hù)投入明顯不足。”雙乾支付運(yùn)營(yíng)總監(jiān)從利波說(shuō)。
一位P2P平臺(tái)負(fù)責(zé)人告訴《IT時(shí)報(bào)》記者,其平臺(tái)一年在機(jī)房?jī)?nèi)的投入在10萬(wàn)元左右。但據(jù)吳宇介紹,目前,中小型互聯(lián)網(wǎng)企業(yè)IT基礎(chǔ)設(shè)施投入應(yīng)該在100至300萬(wàn)元,大型平臺(tái)的投入在千萬(wàn)元左右。
不掌握源代碼,部分平臺(tái)近似“裸奔”
據(jù)《IT時(shí)報(bào)》記者了解,網(wǎng)貸平臺(tái)系統(tǒng)的搭建成本從千元至百萬(wàn)不等,目前中小P2P平臺(tái)多采用十萬(wàn)元左右的系統(tǒng),如果多家P2P平臺(tái)使用同一服務(wù)商開(kāi)發(fā)的軟件系統(tǒng),黑客很可能利用同一漏洞攻擊多家平臺(tái)。
“大部分中小互聯(lián)網(wǎng)金融公司購(gòu)買(mǎi)系統(tǒng)價(jià)格在6萬(wàn)元至20萬(wàn)元之間 ,但是系統(tǒng)掌握在別人手上,沒(méi)有源碼,不是什么好事。”周流根說(shuō)。
12月1日,記者分別拿到P2P系統(tǒng)服務(wù)商——融都科技股份有限公司和曉風(fēng)安全網(wǎng)貸系統(tǒng)的報(bào)價(jià)。融都科技的網(wǎng)貸云標(biāo)準(zhǔn)版和專業(yè)版分別是12.8萬(wàn)元和16.8萬(wàn)元,如果平臺(tái)需要資金托管系統(tǒng)則另加3萬(wàn)元,這兩款系統(tǒng)均不提供源代碼開(kāi)源,而提供源代碼開(kāi)源的定制版是50萬(wàn)起。曉風(fēng)網(wǎng)貸的標(biāo)準(zhǔn)版、增強(qiáng)版、極致版的價(jià)格分別是16.8萬(wàn)元、18.8萬(wàn)元、20.8萬(wàn)元,平臺(tái)如果需要PC開(kāi)源授權(quán),需額外支付12萬(wàn)元。
因?yàn)橘?gòu)買(mǎi)源代碼需要額外一筆資金,許多中小互聯(lián)網(wǎng)公司只是購(gòu)買(mǎi)系統(tǒng),再加上技術(shù)力量薄弱,還會(huì)把技術(shù)外包,主動(dòng)性很差,近似“裸奔”。
“P2P平臺(tái)有大量的用戶信息,業(yè)務(wù)流程中也包含大量直接接觸到資金的環(huán)節(jié),黑客可以利用系統(tǒng)漏洞獲取管理員賬號(hào)權(quán)限,盜取用戶資金。如果多家平臺(tái)均使用同一服務(wù)商系統(tǒng),可能存在利用同一漏洞攻擊多家平臺(tái)的可能。”網(wǎng)貸之家CEO石鵬峰告訴《IT時(shí)報(bào)》記者。
零壹財(cái)經(jīng)研究總監(jiān)李耀東也向記者表示:“P2P平臺(tái)系統(tǒng)的安全性普遍較差是被黑客緊盯的重要原因,要降低風(fēng)險(xiǎn)只能加大投入。”去年,曉風(fēng)網(wǎng)貸就曾被爆,因系統(tǒng)漏洞被黑客攻擊,上百家P2P平臺(tái)受影響,20多家平臺(tái)因此倒閉。
使用盜版軟件導(dǎo)致平臺(tái)信息泄露
除了系統(tǒng)本身漏洞問(wèn)題,互聯(lián)網(wǎng)金融公司低價(jià)購(gòu)買(mǎi)的盜版軟件系統(tǒng),也會(huì)輕易被黑客攻破,導(dǎo)致平臺(tái)數(shù)據(jù)丟失,用戶信息泄露。
“很多系統(tǒng)服務(wù)商的軟件被盜版后在網(wǎng)上賤賣(mài),有些網(wǎng)貸平臺(tái)圖便宜便購(gòu)買(mǎi)了這些盜版系統(tǒng),而盜版者對(duì)軟件無(wú)力維護(hù),一旦系統(tǒng)在漏洞防護(hù)或技術(shù)維護(hù)上出現(xiàn)問(wèn)題,都是災(zāi)難性的,平臺(tái)數(shù)據(jù)、用戶信息都會(huì)泄露。”從利波說(shuō)。
這些被盜取的數(shù)據(jù)短期內(nèi)不會(huì)在網(wǎng)上公布,而是被多次轉(zhuǎn)手,交易對(duì)象多是網(wǎng)貸平臺(tái)等金融投資行業(yè)。這也難怪,有些P2P平臺(tái)的客戶總是抱怨被貴金屬、網(wǎng)貸平臺(tái)、保險(xiǎn)行業(yè)的推銷電話騷擾。
至于中小P2P平臺(tái)的系統(tǒng)安全性能到底如何?可以與銀行搭建的P2P平臺(tái)做個(gè)對(duì)比。吳宇告訴《IT時(shí)報(bào)》記者:“銀行一般會(huì)采用集群式架構(gòu)搭建借貸平臺(tái)來(lái)降低成本,但網(wǎng)絡(luò)架構(gòu)肯定十分注重防攻能力建設(shè),安全系數(shù)要高于一般互聯(lián)網(wǎng)公司。”
吳宇曾在一次行業(yè)論壇上透露,2014年下半年,銀監(jiān)會(huì)曾經(jīng)對(duì)國(guó)內(nèi)銀行業(yè)做過(guò)一次安全掃描,結(jié)果發(fā)現(xiàn)了20多萬(wàn)次高危探測(cè),15000多次攻擊。銀行業(yè)尚且如此,沒(méi)有信息安全標(biāo)準(zhǔn)、保障用戶信息靠自律的P2P平臺(tái)安全性能如何可想而知。