“刚刚上线一个月,我们就被黑客盯上了。”新兴P2P网贷平台普惠无忧CEO曾云锋说。近日,黑客采取恶意访问等流量攻击形式,一度导致网站打开缓慢,经该公司工程师3天的防御才迫使对方无功而返。
这仅是整个行业与黑客博弈的冰山一角。有数据显示,截至去年11月,中国已有165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改甚至倒闭。
网站安全服务商安全宝CEO马杰表示,中国整个网站安全水平都比较低,互联网金融由于自身的价值很大,风险性相对显得突出,特别是初创公司,团队过多把精力放在业务创新层面,忽略了信息安全的建设,造成了黑客的可乘之机。
曾云锋认为,许多P2P网贷通常不是自己研发的系统,而是直接购买廉价的网站模板,几千、几万元钱就能买一套,黑客对于其代码和漏洞都比较熟悉,很容易成为被攻击的对象,而且一家被攻破之后,剩下的就只是时间的问题。
据悉,某知名投资公司曾对100家P2P网贷平台调研后发现:90%以上的P2P平台都是使用模板网站。到淘宝网搜索“网贷平台”或“P2P网贷”,跳出来的页面充斥着从几百元到几千元不等的“最新P2P借贷平台”、“P2P借贷平台源码”等商品。
而根据曾云锋介绍,自主研发平台系统的成本较高,约为购买模板的20—30倍。
在日前举办的“金融o互联跨界融合2015互联网金融干货分享”沙龙上,人人贷CIO蓝晏翔还曝光了行业很多低级安全漏洞。“我拿一个笔记本电脑在他公司门口,可能蹲一下公司就能拿到所有数据了,因为他也没有做准入,WIFI密码永远不变,蹲上一段时间就能够拿到他们的财务等等信息了,其实这个事情很简单,但是总是会被忽视。”蓝晏翔说。
一个具有讽刺意味的情况是,网贷平台安全上的漏洞还被投资公司用来做投资前的尽职调查。据透露,有投资公司在接触某网贷平台时,在看到后者的商业计划书之前,就已经通过其服务器在云端将其核心财务数据了解过了。
八成平台曾受攻击
“与整体网站相比,互联网金融网站的安全水平也不是特别低,但是它自身的金融属性决定了含有很高的商业价值,所以就特别受到黑客关注。”马杰说。
曾云锋告诉记者,有市场研究机构数据显示,高峰时期,中国80%以上的平台均受到过不同程度的黑客攻击,数十家平台因为黑客攻击而倒闭,“黑客攻击导致网站瘫痪,进而引发用户恐慌,产生挤兑潮,这对平台而言是非常致命的”。
马杰表示,黑客攻击P2P网贷平台开始是直接盗取资金,后来发现盗取资金太容易被发现,就采取更隐藏的方式,盗取数据,都是与身份、银行卡等相关的核心数据,不仅不容易被发现,即使发现了也难追查。“黑客攻击的另一种利益诉求则是勒索,许多知名网贷公司都曾被索要保护费,有些公司为了省事真交了钱。”马杰还说,黑客索要1000元案例都曾发生过,从金额来看,对方不像是职业黑客,也从侧面反映出行业安全防御能力有多低。
也有部分黑客攻击行为来自竞争对手,发生在人人贷身上的几次黑客攻击事件就有证据表明是来自竞争对手的恶意攻击。“黑客提出利益诉求也是需要条件的,就是攻击效果出来了,比如你网站瘫痪了的时候。我们平台连续被攻击了3天,始终没被攻破,黑客攻击也是需要成本的,不能一直这么耗着,黑客这才离开,也就没有提出利益诉求。”曾云锋透露。
安全机制和意识是关键
经历此次黑客攻击事件之后,曾云锋还总结了应对黑客攻击的防范措施公布在官网供行业借鉴,包括在有能力情况下购置主流硬件防火墙、构建分布式系统以及购买第三方的CDN服务、流量清洗服务等安全服务。“除了系统建设,还要建立完善的安全机制,信息权限分级、数据实时备份、系统24小时预警等,包括相应的安全人员配备。”曾云锋说,部分创业公司甚至不知道安全工程师是做什么的,信息安全岗位的缺失直接反映了其信息安全的漏洞。
不过,曾云锋强调说,“没有100%的安全,我们做了这么多安全措施,也只是拖延黑客攻破的时间。但这就已经足够了,在这些安全措施换取到的宝贵时间里,我们可以抓紧研究后续的应急措施。”
蓝晏翔认为,应对信息安全威胁,P2P网贷平台除了要加强系统建设和流程建设,还需要员工提高安全意识,养成良好习惯。
马杰也比较看重安全意识在信息安全中的重要地位,“最有效的安全都是不用花钱的,安全最重要的原则是你要有安全意识,最推荐的安全手段是做数据备份,这两条都是不用花钱的,但是很多平台,只有经历了血淋淋的教训,才会意识到这个问题”。