3月23日凌晨,一則“關(guān)于抵制黑客惡意攻擊及敲詐勒索”的聲明被第三方網(wǎng)貸資訊平臺(tái)網(wǎng)貸天眼掛在其官網(wǎng)首頁(yè),而這則聲明發(fā)出前兩天,該網(wǎng)站由于遭黑客攻擊一直訪問(wèn)困難,一度無(wú)法打開(kāi)頁(yè)面。
無(wú)獨(dú)有偶,上周,網(wǎng)貸之家、第一網(wǎng)貸等多家第三方網(wǎng)貸資訊平臺(tái)均表示遭黑客攻擊,部分網(wǎng)站還遭勒索。隨著P2P網(wǎng)貸平臺(tái)的系統(tǒng)安全問(wèn)題逐漸暴露,網(wǎng)貸行業(yè)系統(tǒng)性技術(shù)安全問(wèn)題受到關(guān)注。
在被稱(chēng)為“互聯(lián)網(wǎng)金融元年”的2013年,上線P2P網(wǎng)貸平臺(tái)多達(dá)數(shù)百家,多數(shù)網(wǎng)貸平臺(tái)籌備時(shí)間短、上線時(shí)間快、交易系統(tǒng)開(kāi)發(fā)商的激烈競(jìng)爭(zhēng),導(dǎo)致網(wǎng)貸平臺(tái)交易系統(tǒng)存在安全隱患,此外,P2P網(wǎng)貸平臺(tái)專(zhuān)業(yè)技術(shù)人員短缺等也為黑客帶來(lái)可趁之機(jī)。
黑客致?lián)p超百萬(wàn)
3月21日晚上7點(diǎn),網(wǎng)貸天眼開(kāi)始遭受黑客攻擊,由于攻擊強(qiáng)度較大,導(dǎo)致服務(wù)器廠商關(guān)閉了網(wǎng)貸天眼的服務(wù)器;次日上午8時(shí),該網(wǎng)站更換了更高級(jí)別的服務(wù)器,依舊遭到黑客攻擊,訪問(wèn)時(shí)斷時(shí)續(xù)。
兩個(gè)半小時(shí)后,有黑客在網(wǎng)貸天眼交流群里向管理員發(fā)出勒索信息稱(chēng),轉(zhuǎn)賬5萬(wàn)元到黑客支付寶賬戶就會(huì)停止攻擊,并告知無(wú)法滿足其要求還會(huì)持續(xù)攻擊,隨后該網(wǎng)站報(bào)警。
與網(wǎng)貸天眼相比,另一第三方網(wǎng)貸平臺(tái)網(wǎng)貸之家遭黑客攻擊的程度更加嚴(yán)重,該網(wǎng)站于上周二遭受黑客攻擊以來(lái),截至昨日依舊無(wú)法打開(kāi)。
而此并非孤例,春節(jié)前夕,拍拍貸、好貸網(wǎng)、火幣網(wǎng)等多家P2P網(wǎng)貸平臺(tái)遭黑客攻擊,平臺(tái)頁(yè)面無(wú)法打開(kāi),致使投資人無(wú)法登錄平臺(tái)投資和提現(xiàn),平臺(tái)負(fù)責(zé)人隨后收到黑客幾千至幾萬(wàn)不等的敲詐信息。
網(wǎng)貸天眼創(chuàng)始人侯濱認(rèn)為,去年因黑客原因?qū)е沦Y金損失保守估計(jì)達(dá)500萬(wàn)元,這不包括P2P網(wǎng)貸平臺(tái)為了避免黑客再次攻擊而付出的成本。
“黑客攻擊P2P平臺(tái)之后,投資人無(wú)法進(jìn)行正常的操作,時(shí)間久了,將會(huì)影響平臺(tái)的信譽(yù)和投資人的忠誠(chéng)度。”網(wǎng)貸之家CEO徐紅偉說(shuō),老牌P2P技術(shù)力量相對(duì)強(qiáng)大,技術(shù)上比較穩(wěn)健,但多數(shù)平臺(tái)技術(shù)人員匱乏,面對(duì)黑客的強(qiáng)勢(shì)攻擊平臺(tái)大多束手無(wú)策,最終“舍財(cái)消災(zāi)”。
而由技術(shù)人員的短缺導(dǎo)致的技術(shù)風(fēng)險(xiǎn)正成為網(wǎng)貸行業(yè)面臨又一大風(fēng)險(xiǎn)。在網(wǎng)貸業(yè)內(nèi)人士看來(lái),3~5個(gè)技術(shù)人員屬于P2P平臺(tái)標(biāo)準(zhǔn)配置,在國(guó)內(nèi)一線城市,技術(shù)人員容易配置,而二三線城市技術(shù)人員不但數(shù)量較少,且專(zhuān)業(yè)能力也與一線城市差距較大。
網(wǎng)貸安全亟待重視
來(lái)自黑客的威脅正成為網(wǎng)貸行業(yè)面臨的最大技術(shù)風(fēng)險(xiǎn)。按照黑客的操作邏輯,其主要通過(guò)兩個(gè)途徑威脅P2P交易安全和平臺(tái)的正常運(yùn)行。
一是獲取管理員權(quán)限,按照正常投資流程,投資人先在P2P平臺(tái)注冊(cè)賬號(hào),然后通過(guò)線上或第三方支付充值到該賬號(hào),之后再進(jìn)行投資。
而黑客則以投資人身份在P2P平臺(tái)注冊(cè),并通過(guò)線上線下等方式在平臺(tái)或第三方支付賬戶里充值,在充值過(guò)程中把網(wǎng)絡(luò)頁(yè)面停留在銀行界面,隨后關(guān)閉。雖然沒(méi)有充值成功,但投資人充值狀態(tài)在平臺(tái)交易系統(tǒng)內(nèi)顯示為“待審核”,隨后黑客通過(guò)技術(shù)手段獲取管理員權(quán)限,將狀態(tài)修改為“已審核”,此時(shí)該黑客賬戶里便顯示充值資金,然后黑客再通過(guò)多種途徑提現(xiàn)。
另一種方式在技術(shù)上則相對(duì)困難,黑客需要對(duì)網(wǎng)貸交易系統(tǒng)的構(gòu)架非常了解,能夠很快在系統(tǒng)內(nèi)找到網(wǎng)貸資金的數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)有投資人和借款人的詳細(xì)信息,包括待收金額、站崗資金以及身份證、密碼等重要數(shù)據(jù),黑客通過(guò)對(duì)數(shù)據(jù)庫(kù)里賬戶的資金信息進(jìn)行修改,提高賬戶資金額度,然后再通過(guò)多種途徑套現(xiàn)。
“這是隱形的黑客襲擊,平臺(tái)表面上察覺(jué)不到,但是事后對(duì)賬會(huì)發(fā)現(xiàn)問(wèn)題。”侯濱介紹說(shuō),而這些問(wèn)題解決則需要P2P網(wǎng)貸平臺(tái)自身有足夠的專(zhuān)業(yè)人員進(jìn)行維護(hù),以保證客戶資料安全、資金安全。
《第一財(cái)經(jīng)日?qǐng)?bào)》記者在采訪中了解到,P2P網(wǎng)貸平臺(tái)在技術(shù)力量薄弱的情況下會(huì)委托系統(tǒng)開(kāi)發(fā)商進(jìn)行數(shù)據(jù)托管、系統(tǒng)維護(hù),一旦數(shù)據(jù)庫(kù)不由P2P平臺(tái)自己掌控,就會(huì)面臨客戶資料泄露、資金流動(dòng)失誤等潛在風(fēng)險(xiǎn)。
多位接受采訪的業(yè)內(nèi)人士建議,網(wǎng)貸平臺(tái)系統(tǒng)的開(kāi)發(fā)和維護(hù)最好獨(dú)立掌握,一方面在平臺(tái)出現(xiàn)問(wèn)題時(shí)對(duì)可以及時(shí)發(fā)現(xiàn)漏洞及時(shí)修復(fù),另一方面可以將核心數(shù)據(jù)掌握在平臺(tái)手中,降低因購(gòu)買(mǎi)網(wǎng)貸交易系統(tǒng)導(dǎo)致的潛在風(fēng)險(xiǎn)。
