临近年末,金融理财机构迎来还贷、提现的高峰期,不法黑客们瞄准了这一时机,打起了中小型P2P平台的主意,并发起了一波又一波“勒索你绝不讲价”的恶意攻击。投资人一旦发现P2P平台被“黑”,网站无法正常登录,从而形成恐慌,对于平台的打击将是致命的,甚至可能引发资金链断裂,平台倒闭或跑路。
那么,P2P平台系统的互联网安全性如何把控?零壹财经研究总监李耀东的回答让人担心:“P2P平台没有安全等级的要求,一些自律组织采用的是信息安全标准,至于平台如何保障用户信息安全,主要靠自觉。”
防护成本比被勒索金额还要高
11月30日,这已是好借好贷P2P平台连续第五天遭遇黑客DDoS流量攻击,无奈之下,好借好贷在其官网发布了网站维护的公告。
时间回到11月26日上午,好借好贷的客服人员突然收到一名黑客发来的QQ消息:“我们要封你们网站,通知你们老板联系我。”没等客服反应过来,平台的网站就已无法打开。黑客的要求很简单,交5000元人民币就停止封站,不能讨价还价,不给也没关系,大家慢慢耗着。
至于为什么黑客只勒索5000元?好借好贷负责人周流根告诉《IT时报》记者:“通常勒索金额不满6000元不能立案,对方正是钻这个空子。”
原本,好借好贷对于DDoS流量攻击是有防范机制的,服务提供方是大名鼎鼎的阿里云。可被攻击后阿里云通知称,好借好贷平台IP受到的攻击流量已超云盾DDoS攻击基础防护的带宽峰值,服务器所有访问已被屏蔽,建议平台购买DDoS高防服务,保障服务器的正常运行。
“阿里云高防服务的保底防护攻击带宽峰值是20G,价格每月16800元,比黑客勒索的金额还高。阿里云收费太贵了,小平台得把钱花在刀刃上。”周流根无奈地说道。
中小平台支付赎金、息事宁人
为难的不仅是好借好贷,对于所有中小P2P平台来说,防范黑客DDoS攻击都是一笔不菲的费用。今年7月,双乾支付遭遇不明黑客攻击,为了捍卫平台的尊严,双乾支付选择使用云盾DDoS防护服务,结果仅3小时就花去了16万元。
正因为互联网安全防护花费远远高于黑客勒索的金额,所以许多资金实力不强的中小平台常常会选择支付对方索要的敲诈金额,息事宁人。不法黑客也正是看准了中小P2P平台不舍得花大钱,又不太愿意对外声张的心理,频频发动攻击。周流根透露,就在好借好贷被攻击后,该黑客组织转而又攻击了一家名叫小富金融的P2P平台。
为了应对黑客攻击,好借好贷平台增加了四台服务器、同时启用三个IP,才使网站恢复正常。周流根告诉记者:“虽然挡住了黑客10G的流量攻击,但采用增加防火墙的方式抵御攻击耽误了太长时间,平台损失远不止5000元。”也正是因为这次的攻击,该平台决定摒弃第三方系统,投资升级全新的系统。
平台建设投入普遍不足
“目前,多数中小型P2P平台只能抵御小规模入侵,对于10G以上的DDoS入侵几乎无力抵抗。”交通银行上海分行信息技术部总经理吴宇告诉《IT时报》记者。吴宇算了笔账,购买1G带宽年费用约为30万元,如果平台遇到的攻击是30G,自己买带宽抵御的话,一年投资将达900万元。对于中小平台而言,如此额度的技术投入几乎是不可能的。
此外,黑客攻击除能引起系统瘫痪外,还可将数据恶意修改、洗劫一空。吴宇告诉记者:“黑客通过申请账号、篡改数据、冒充投资人进行恶意提现甚至资金被盗事件也曾发生过。”
“遭受攻击时,95%以上的P2P平台对客户信息安全执行力为零,中小型P2P平台的资金基本都用来做市场推广,对他们而言,活下来是首要任务,技术人员的培养及系统的开发维护投入明显不足。”双乾支付运营总监从利波说。
一位P2P平台负责人告诉《IT时报》记者,其平台一年在机房内的投入在10万元左右。但据吴宇介绍,目前,中小型互联网企业IT基础设施投入应该在100至300万元,大型平台的投入在千万元左右。
不掌握源代码,部分平台近似“裸奔”
据《IT时报》记者了解,网贷平台系统的搭建成本从千元至百万不等,目前中小P2P平台多采用十万元左右的系统,如果多家P2P平台使用同一服务商开发的软件系统,黑客很可能利用同一漏洞攻击多家平台。
“大部分中小互联网金融公司购买系统价格在6万元至20万元之间 ,但是系统掌握在别人手上,没有源码,不是什么好事。”周流根说。
12月1日,记者分别拿到P2P系统服务商——融都科技股份有限公司和晓风安全网贷系统的报价。融都科技的网贷云标准版和专业版分别是12.8万元和16.8万元,如果平台需要资金托管系统则另加3万元,这两款系统均不提供源代码开源,而提供源代码开源的定制版是50万起。晓风网贷的标准版、增强版、极致版的价格分别是16.8万元、18.8万元、20.8万元,平台如果需要PC开源授权,需额外支付12万元。
因为购买源代码需要额外一笔资金,许多中小互联网公司只是购买系统,再加上技术力量薄弱,还会把技术外包,主动性很差,近似“裸奔”。
“P2P平台有大量的用户信息,业务流程中也包含大量直接接触到资金的环节,黑客可以利用系统漏洞获取管理员账号权限,盗取用户资金。如果多家平台均使用同一服务商系统,可能存在利用同一漏洞攻击多家平台的可能。”网贷之家CEO石鹏峰告诉《IT时报》记者。
零壹财经研究总监李耀东也向记者表示:“P2P平台系统的安全性普遍较差是被黑客紧盯的重要原因,要降低风险只能加大投入。”去年,晓风网贷就曾被爆,因系统漏洞被黑客攻击,上百家P2P平台受影响,20多家平台因此倒闭。
使用盗版软件导致平台信息泄露
除了系统本身漏洞问题,互联网金融公司低价购买的盗版软件系统,也会轻易被黑客攻破,导致平台数据丢失,用户信息泄露。
“很多系统服务商的软件被盗版后在网上贱卖,有些网贷平台图便宜便购买了这些盗版系统,而盗版者对软件无力维护,一旦系统在漏洞防护或技术维护上出现问题,都是灾难性的,平台数据、用户信息都会泄露。”从利波说。
这些被盗取的数据短期内不会在网上公布,而是被多次转手,交易对象多是网贷平台等金融投资行业。这也难怪,有些P2P平台的客户总是抱怨被贵金属、网贷平台、保险行业的推销电话骚扰。
至于中小P2P平台的系统安全性能到底如何?可以与银行搭建的P2P平台做个对比。吴宇告诉《IT时报》记者:“银行一般会采用集群式架构搭建借贷平台来降低成本,但网络架构肯定十分注重防攻能力建设,安全系数要高于一般互联网公司。”
吴宇曾在一次行业论坛上透露,2014年下半年,银监会曾经对国内银行业做过一次安全扫描,结果发现了20多万次高危探测,15000多次攻击。银行业尚且如此,没有信息安全标准、保障用户信息靠自律的P2P平台安全性能如何可想而知。