发帖
雷达卡
尽管“某P2P平台卷款跑路”、“某P2P平台因网站漏洞无法挤兑”等有关P2P行业的负面新闻不绝于耳,但一航还是相信自己每天都关注的这些网贷平台不会触雷。
用户信息、资金安全被“盯梢”
黑客们到底盯上了P2P平台的哪些资源?
在中国社会科学院对外经贸国际金融研究中心副主任袁善祥看来,P2P网贷平台本质上是融资平台,上面沉淀着庞大的客户数据和资金交易额,对于黑客来说,这无疑是巨大的诱饵。
“P2P平台含有大量具有敏感度的交易数据,如投资人资料、资金记录、银行卡信息等,黑客窃取用户信息的目的可能有三种:其一,非法调查机构、私人侦探等机构进行信息调查,调取客户信息;其二,下载客户数据及交易记录出售获利;其三,修改客户信息,造成交易混乱。”袁善祥告诉法治周末记者。
记者在乌云漏洞平台上注意到,白帽子“路人甲”于近日发布的漏洞报告“P2P网贷平台生金所用户信息泄露”显示,黑客通过修改网站参数,可以扫描出该网站所有用户的账号信息,进而利用参数漏洞能够获取用户身份证件、手机号码、家庭住址等信息,甚至操作用户账户内余额进行投资。
“采用模板的平台是黑客指向性攻击的重灾区,网贷企业购置通用平台模板,稍加修改后使用,就像装了同样的锁,别人用一把钥匙就能轻易打开门。”袁善祥认为通用模板是导致P2P平台易受攻击的原因之一。
蒋正认为,黑客攻击P2P平台最常见的方式是DDOS攻击,通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。简单说,是指通过网络过载来干扰甚至阻断正常的网络通讯,通过向服务器提交大量请求,使服务器超负荷崩溃。
流量攻击都是按每秒的流量算的,很多机房的总出口带宽都不足30G,而机房最高的防火墙集群一般都才30G,国内的机房防火墙一般是在20G左右。
请第三方安全机构“保驾护航”
中国互联网金融诚信联盟首席律师肖飒认为,P2P网贷系统只有确保无漏洞,才能保障网贷平台的安全稳定和投资者的收益。“平台一定要重视网络安全,要有意识地依照网络安全的基本要求,及时发现网站漏洞,防止黑客攻击。”肖飒说。
那么,P2P平台如何才能确保无漏洞,维护网络安全呢?
从技术角度指出,P2P平台应该实施服务器集群与分布管理,增强硬防火墙,流量清洗等安全策略,加强对平台的不间断监测,建立高效预警机制;保持对平台的更新升级频率和漏洞的巡查修复。
“应该让专业的人做专业的事。P2P平台可以依托专业的技术外包公司解决技术安全问题,保证数据实时异地备份,确保被攻击后数据不丢失。”蒋正认为,借助第三方安全服务机构进行独立和专业的渗透检测,可以避免P2P平台的内部力量不足和非独立性。
袁善祥提示网贷平台,如果发生黑客袭击事件,网贷企业应做好受攻击后的客户安抚和解释工作,防范引发集中提现、提前兑付等系统性风险。
京公网安备 11010802022788号
