監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

黑客盯上互聯(lián)網(wǎng)金融 八成P2P平臺(tái)受攻擊

申請免費(fèi)試用、咨詢電話:400-8352-114

“剛剛上線一個(gè)月,我們就被黑客盯上了?!毙屡dP2P網(wǎng)貸平臺(tái)普惠無憂CEO曾云鋒說。近日,黑客采取惡意訪問等流量攻擊形式,一度導(dǎo)致網(wǎng)站打開緩慢,經(jīng)該公司工程師3天的防御才迫使對方無功而返。

這僅是整個(gè)行業(yè)與黑客博弈的冰山一角。有數(shù)據(jù)顯示,截至去年11月,中國已有165家P2P平臺(tái)由于黑客攻擊造成系統(tǒng)癱瘓、數(shù)據(jù)被惡意篡改甚至倒閉。

網(wǎng)站安全服務(wù)商安全寶CEO馬杰表示,中國整個(gè)網(wǎng)站安全水平都比較低,互聯(lián)網(wǎng)金融由于自身的價(jià)值很大,風(fēng)險(xiǎn)性相對顯得突出,特別是初創(chuàng)公司,團(tuán)隊(duì)過多把精力放在業(yè)務(wù)創(chuàng)新層面,忽略了信息安全的建設(shè),造成了黑客的可乘之機(jī)。

部分平臺(tái)接近裸奔

曾云鋒認(rèn)為,許多P2P網(wǎng)貸通常不是自己研發(fā)的系統(tǒng),而是直接購買廉價(jià)的網(wǎng)站模板,幾千、幾萬元錢就能買一套,黑客對于其代碼和漏洞都比較熟悉,很容易成為被攻擊的對象,而且一家被攻破之后,剩下的就只是時(shí)間的問題。

據(jù)悉,某知名投資公司曾對100家P2P網(wǎng)貸平臺(tái)調(diào)研后發(fā)現(xiàn):90%以上的P2P平臺(tái)都是使用模板網(wǎng)站。到淘寶網(wǎng)搜索“網(wǎng)貸平臺(tái)”或“P2P網(wǎng)貸”,跳出來的頁面充斥著從幾百元到幾千元不等的“最新P2P借貸平臺(tái)”、“P2P借貸平臺(tái)源碼”等商品。

而根據(jù)曾云鋒介紹,自主研發(fā)平臺(tái)系統(tǒng)的成本較高,約為購買模板的20—30倍。

在日前舉辦的“金融o互聯(lián)跨界融合 2015互聯(lián)網(wǎng)金融干貨分享”沙龍上,人人貸CIO藍(lán)晏翔還曝光了行業(yè)很多低級安全漏洞。

“我拿一個(gè)筆記本電腦在他公司門口,可能蹲一下公司就能拿到所有數(shù)據(jù)了,因?yàn)樗矝]有做準(zhǔn)入,WIFI密碼永遠(yuǎn)不變,蹲上一段時(shí)間就能夠拿到他們的財(cái)務(wù)等等信息了,其實(shí)這個(gè)事情很簡單,但是總是會(huì)被忽視。”藍(lán)晏翔說。

一個(gè)具有諷刺意味的情況是,網(wǎng)貸平臺(tái)安全上的漏洞還被投資公司用來做投資前的盡職調(diào)查。據(jù)透露,有投資公司在接觸某網(wǎng)貸平臺(tái)時(shí),在看到后者的商業(yè)計(jì)劃書之前,就已經(jīng)通過其服務(wù)器在云端將其核心財(cái)務(wù)數(shù)據(jù)了解過了。

八成平臺(tái)曾受攻擊

“與整體網(wǎng)站相比,互聯(lián)網(wǎng)金融網(wǎng)站的安全水平也不是特別低,但是它自身的金融屬性決定了含有很高的商業(yè)價(jià)值,所以就特別受到黑客關(guān)注。”馬杰說。

曾云鋒告訴記者,有市場研究機(jī)構(gòu)數(shù)據(jù)顯示,高峰時(shí)期,中國80%以上的平臺(tái)均受到過不同程度的黑客攻擊,數(shù)十家平臺(tái)因?yàn)楹诳凸舳归],“黑客攻擊導(dǎo)致網(wǎng)站癱瘓,進(jìn)而引發(fā)用戶恐慌,產(chǎn)生擠兌潮,這對平臺(tái)而言是非常致命的”。

馬杰表示,黑客攻擊P2P網(wǎng)貸平臺(tái)開始是直接盜取資金,后來發(fā)現(xiàn)盜取資金太容易被發(fā)現(xiàn),就采取更隱藏的方式,盜取數(shù)據(jù),都是與身份、銀行卡等相關(guān)的核心數(shù)據(jù),不僅不容易被發(fā)現(xiàn),即使發(fā)現(xiàn)了也難追查。

“黑客攻擊的另一種利益訴求則是勒索,許多知名網(wǎng)貸公司都曾被索要保護(hù)費(fèi),有些公司為了省事真交了錢?!瘪R杰還說,黑客索要1000元案例都曾發(fā)生過,從金額來看,對方不像是職業(yè)黑客,也從側(cè)面反映出行業(yè)安全防御能力有多低。

也有部分黑客攻擊行為來自競爭對手,發(fā)生在人人貸身上的幾次黑客攻擊事件就有證據(jù)表明是來自競爭對手的惡意攻擊。

“黑客提出利益訴求也是需要條件的,就是攻擊效果出來了,比如你網(wǎng)站癱瘓了的時(shí)候。我們平臺(tái)連續(xù)被攻擊了3天,始終沒被攻破,黑客攻擊也是需要成本的,不能一直這么耗著,黑客這才離開,也就沒有提出利益訴求。”曾云鋒透露。

安全機(jī)制和意識(shí)是關(guān)鍵

經(jīng)歷此次黑客攻擊事件之后,曾云鋒還總結(jié)了應(yīng)對黑客攻擊的防范措施公布在官網(wǎng)供行業(yè)借鑒,包括在有能力情況下購置主流硬件防火墻、構(gòu)建分布式系統(tǒng)以及購買第三方的CDN服務(wù)、流量清洗服務(wù)等安全服務(wù)。

“除了系統(tǒng)建設(shè),還要建立完善的安全機(jī)制,信息權(quán)限分級、數(shù)據(jù)實(shí)時(shí)備份、系統(tǒng)24小時(shí)預(yù)警等,包括相應(yīng)的安全人員配備?!痹其h說,部分創(chuàng)業(yè)公司甚至不知道安全工程師是做什么的,信息安全崗位的缺失直接反映了其信息安全的漏洞。

不過,曾云鋒強(qiáng)調(diào)說,“沒有100%的安全,我們做了這么多安全措施,也只是拖延黑客攻破的時(shí)間。但這就已經(jīng)足夠了,在這些安全措施換取到的寶貴時(shí)間里,我們可以抓緊研究后續(xù)的應(yīng)急措施?!?o:p>

藍(lán)晏翔認(rèn)為,應(yīng)對信息安全威脅,P2P網(wǎng)貸平臺(tái)除了要加強(qiáng)系統(tǒng)建設(shè)和流程建設(shè),還需要員工提高安全意識(shí),養(yǎng)成良好習(xí)慣。

馬杰也比較看重安全意識(shí)在信息安全中的重要地位,“最有效的安全都是不用花錢的,安全最重要的原則是你要有安全意識(shí),最推薦的安全手段是做數(shù)據(jù)備份,這兩條都是不用花錢的,但是很多平臺(tái),只有經(jīng)歷了血淋淋的教訓(xùn),才會(huì)意識(shí)到這個(gè)問題”。

發(fā)布:2007-03-13 10:29    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
軟件產(chǎn)品
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢