?“交5000元就停止封站”,中小P2P平臺(tái)頻繁遭遇敲詐勒索,成為不法黑客攻擊重災(zāi)區(qū)。
?臨近年末,金融理財(cái)機(jī)構(gòu)迎來還貸、提現(xiàn)的高峰期,不法黑客們瞄準(zhǔn)了這一時(shí)機(jī),打起了中小型P2P平臺(tái)的主意,并發(fā)起了一波又一波“勒索你絕不講價(jià)”的惡意攻擊。投資人一旦發(fā)現(xiàn)P2P平臺(tái)被“黑”,網(wǎng)站無法正常登錄,從而形成恐慌,對于平臺(tái)的打擊將是致命的,甚至可能引發(fā)資金鏈斷裂,平臺(tái)倒閉或跑路。
?那么,P2P平臺(tái)系統(tǒng)的互聯(lián)網(wǎng)安全性如何把控?零壹財(cái)經(jīng)研究總監(jiān)李耀東的回答讓人擔(dān)心:“P2P平臺(tái)沒有安全等級的要求,一些自律組織采用的是信息安全標(biāo)準(zhǔn),至于平臺(tái)如何保障用戶信息安全,主要靠自覺?!?/font>
?防護(hù)成本比被勒索金額還要高
?11月30日,這已是好借好貸P2P平臺(tái)連續(xù)第五天遭遇黑客DDoS流量攻擊,無奈之下,好借好貸在其官網(wǎng)發(fā)布了網(wǎng)站維護(hù)的公告。
?時(shí)間回到11月26日上午,好借好貸的客服人員突然收到一名黑客發(fā)來的QQ消息:“我們要封你們網(wǎng)站,通知你們老板聯(lián)系我。”沒等客服反應(yīng)過來,平臺(tái)的網(wǎng)站就已無法打開。黑客的要求很簡單,交5000元人民幣就停止封站,不能討價(jià)還價(jià),不給也沒關(guān)系,大家慢慢耗著。
?至于為什么黑客只勒索5000元?好借好貸負(fù)責(zé)人周流根告訴《IT時(shí)報(bào)》記者:“通常勒索金額不滿6000元不能立案,對方正是鉆這個(gè)空子?!?/font>
?原本,好借好貸對于DDoS流量攻擊是有防范機(jī)制的,服務(wù)提供方是大名鼎鼎的阿里云??杀还艉蟀⒗镌仆ㄖQ,好借好貸平臺(tái)IP受到的攻擊流量已超云盾DDoS攻擊基礎(chǔ)防護(hù)的帶寬峰值,服務(wù)器所有訪問已被屏蔽,建議平臺(tái)購買DDoS高防服務(wù),保障服務(wù)器的正常運(yùn)行。
?“阿里云高防服務(wù)的保底防護(hù)攻擊帶寬峰值是20G,價(jià)格每月16800元,比黑客勒索的金額還高。阿里云收費(fèi)太貴了,小平臺(tái)得把錢花在刀刃上?!敝芰鞲鶡o奈地說道。
?中小平臺(tái)支付贖金、息事寧人
?為難的不僅是好借好貸,對于所有中小P2P平臺(tái)來說,防范黑客DDoS攻擊都是一筆不菲的費(fèi)用。今年7月,雙乾支付遭遇不明黑客攻擊,為了捍衛(wèi)平臺(tái)的尊嚴(yán),雙乾支付選擇使用云盾DDoS防護(hù)服務(wù),結(jié)果僅3小時(shí)就花去了16萬元。
?正因?yàn)榛ヂ?lián)網(wǎng)安全防護(hù)花費(fèi)遠(yuǎn)遠(yuǎn)高于黑客勒索的金額,所以許多資金實(shí)力不強(qiáng)的中小平臺(tái)常常會(huì)選擇支付對方索要的敲詐金額,息事寧人。不法黑客也正是看準(zhǔn)了中小P2P平臺(tái)不舍得花大錢,又不太愿意對外聲張的心理,頻頻發(fā)動(dòng)攻擊。周流根透露,就在好借好貸被攻擊后,該黑客組織轉(zhuǎn)而又攻擊了一家名叫小富金融的P2P平臺(tái)。
?為了應(yīng)對黑客攻擊,好借好貸平臺(tái)增加了四臺(tái)服務(wù)器、同時(shí)啟用三個(gè)IP,才使網(wǎng)站恢復(fù)正常。周流根告訴記者:“雖然擋住了黑客10G的流量攻擊,但采用增加防火墻的方式抵御攻擊耽誤了太長時(shí)間,平臺(tái)損失遠(yuǎn)不止5000元。”也正是因?yàn)檫@次的攻擊,該平臺(tái)決定摒棄第三方系統(tǒng),投資升級全新的系統(tǒng)。
?平臺(tái)建設(shè)投入普遍不足
?“目前,多數(shù)中小型P2P平臺(tái)只能抵御小規(guī)模入侵,對于10G以上的DDoS入侵幾乎無力抵抗?!苯煌ㄣy行上海分行信息技術(shù)部總經(jīng)理吳宇告訴《IT時(shí)報(bào)》記者。吳宇算了筆賬,購買1G帶寬年費(fèi)用約為30萬元,如果平臺(tái)遇到的攻擊是30G,自己買帶寬抵御的話,一年投資將達(dá)900萬元。對于中小平臺(tái)而言,如此額度的技術(shù)投入幾乎是不可能的。
?此外,黑客攻擊除能引起系統(tǒng)癱瘓外,還可將數(shù)據(jù)惡意修改、洗劫一空。吳宇告訴記者:“黑客通過申請賬號、篡改數(shù)據(jù)、冒充投資人進(jìn)行惡意提現(xiàn)甚至資金被盜事件也曾發(fā)生過。”
?“遭受攻擊時(shí),95%以上的P2P平臺(tái)對客戶信息安全執(zhí)行力為零,中小型P2P平臺(tái)的資金基本都用來做市場推廣,對他們而言,活下來是首要任務(wù),技術(shù)人員的培養(yǎng)及系統(tǒng)的開發(fā)維護(hù)投入明顯不足。”雙乾支付運(yùn)營總監(jiān)從利波說。
?一位P2P平臺(tái)負(fù)責(zé)人告訴《IT時(shí)報(bào)》記者,其平臺(tái)一年在機(jī)房內(nèi)的投入在10萬元左右。但據(jù)吳宇介紹,目前,中小型互聯(lián)網(wǎng)企業(yè)IT基礎(chǔ)設(shè)施投入應(yīng)該在100至300萬元,大型平臺(tái)的投入在千萬元左右。
?不掌握源代碼,部分平臺(tái)近似“裸奔”
?據(jù)《IT時(shí)報(bào)》記者了解,網(wǎng)貸平臺(tái)系統(tǒng)的搭建成本從千元至百萬不等,目前中小P2P平臺(tái)多采用十萬元左右的系統(tǒng),如果多家P2P平臺(tái)使用同一服務(wù)商開發(fā)的軟件系統(tǒng),黑客很可能利用同一漏洞攻擊多家平臺(tái)。
?“大部分中小互聯(lián)網(wǎng)金融公司購買系統(tǒng)價(jià)格在6萬元至20萬元之間 ,但是系統(tǒng)掌握在別人手上,沒有源碼,不是什么好事?!敝芰鞲f。
?12月1日,記者分別拿到P2P系統(tǒng)服務(wù)商——融都科技股份有限公司和曉風(fēng)安全網(wǎng)貸系統(tǒng)的報(bào)價(jià)。融都科技的網(wǎng)貸云標(biāo)準(zhǔn)版和專業(yè)版分別是12.8萬元和16.8萬元,如果平臺(tái)需要資金托管系統(tǒng)則另加3萬元,這兩款系統(tǒng)均不提供源代碼開源,而提供源代碼開源的定制版是50萬起。曉風(fēng)網(wǎng)貸的標(biāo)準(zhǔn)版、增強(qiáng)版、極致版的價(jià)格分別是16.8萬元、18.8萬元、20.8萬元,平臺(tái)如果需要PC開源授權(quán),需額外支付12萬元。
?因?yàn)橘徺I源代碼需要額外一筆資金,許多中小互聯(lián)網(wǎng)公司只是購買系統(tǒng),再加上技術(shù)力量薄弱,還會(huì)把技術(shù)外包,主動(dòng)性很差,近似“裸奔”。
?“P2P平臺(tái)有大量的用戶信息,業(yè)務(wù)流程中也包含大量直接接觸到資金的環(huán)節(jié),黑客可以利用系統(tǒng)漏洞獲取管理員賬號權(quán)限,盜取用戶資金。如果多家平臺(tái)均使用同一服務(wù)商系統(tǒng),可能存在利用同一漏洞攻擊多家平臺(tái)的可能?!本W(wǎng)貸之家CEO石鵬峰告訴《IT時(shí)報(bào)》記者。
?零壹財(cái)經(jīng)研究總監(jiān)李耀東也向記者表示:“P2P平臺(tái)系統(tǒng)的安全性普遍較差是被黑客緊盯的重要原因,要降低風(fēng)險(xiǎn)只能加大投入。”去年,曉風(fēng)網(wǎng)貸就曾被爆,因系統(tǒng)漏洞被黑客攻擊,上百家P2P平臺(tái)受影響,20多家平臺(tái)因此倒閉。
?使用盜版軟件導(dǎo)致平臺(tái)信息泄露
?除了系統(tǒng)本身漏洞問題,互聯(lián)網(wǎng)金融公司低價(jià)購買的盜版軟件系統(tǒng),也會(huì)輕易被黑客攻破,導(dǎo)致平臺(tái)數(shù)據(jù)丟失,用戶信息泄露。
?“很多系統(tǒng)服務(wù)商的軟件被盜版后在網(wǎng)上賤賣,有些網(wǎng)貸平臺(tái)圖便宜便購買了這些盜版系統(tǒng),而盜版者對軟件無力維護(hù),一旦系統(tǒng)在漏洞防護(hù)或技術(shù)維護(hù)上出現(xiàn)問題,都是災(zāi)難性的,平臺(tái)數(shù)據(jù)、用戶信息都會(huì)泄露?!睆睦ㄕf。
?這些被盜取的數(shù)據(jù)短期內(nèi)不會(huì)在網(wǎng)上公布,而是被多次轉(zhuǎn)手,交易對象多是網(wǎng)貸平臺(tái)等金融投資行業(yè)。這也難怪,有些P2P平臺(tái)的客戶總是抱怨被貴金屬、網(wǎng)貸平臺(tái)、保險(xiǎn)行業(yè)的推銷電話騷擾。
?至于中小P2P平臺(tái)的系統(tǒng)安全性能到底如何?可以與銀行搭建的P2P平臺(tái)做個(gè)對比。吳宇告訴《IT時(shí)報(bào)》記者:“銀行一般會(huì)采用集群式架構(gòu)搭建借貸平臺(tái)來降低成本,但網(wǎng)絡(luò)架構(gòu)肯定十分注重防攻能力建設(shè),安全系數(shù)要高于一般互聯(lián)網(wǎng)公司?!?/font>
?吳宇曾在一次行業(yè)論壇上透露,2014年下半年,銀監(jiān)會(huì)曾經(jīng)對國內(nèi)銀行業(yè)做過一次安全掃描,結(jié)果發(fā)現(xiàn)了20多萬次高危探測,15000多次攻擊。銀行業(yè)尚且如此,沒有信息安全標(biāo)準(zhǔn)、保障用戶信息靠自律的P2P平臺(tái)安全性能如何可想而知。