P2P待守信息安全底線 用戶信息泄露亟待解決

2 評論 5292 瀏覽 3 收藏 10 分鐘

7月7日,P2P網貸平臺新聯在線發布關于遭受黑客占用寬帶攻擊的公告。公告稱,7日中午,新聯在線客服收到黑客敲詐信息,隨后網站出現不穩定現象。同時,公告表示此次黑客攻擊,只是以占用寬帶的方式導致平臺系統暫時癱瘓,并不會造成任何投資者信息的泄露和財產的損失。

新聯在線于2013年7月31日上線,而這已經是今年進入7月以來該平臺第二次出現技術問題。2014年7月3日,該平臺發布系統公告稱,技術團隊經排查發現平臺存在重大安全漏洞,已于第一時間進行了技術修復。

近年,P2P網貸平臺進入高速發展期,網貸之家日前發布的《2014中國網絡借貸行業上半年報》顯示,截至2014年6月底,全國網貸平臺數量約達1184家,行業成交量約為818.37億元,至2014年底,我國P2P平臺的數量將達1500家。

伴隨P2P網貸行業高速發展的是平臺和投資人的信息安全屢遭威脅,黑客入侵平臺事件頻頻上演。據媒體報道,2013年,國內有近70家網貸平臺因為黑客事件宣布關門。

模板系統先天不足

國誠金融聯合創始人首席運營官王建章對《第一財經日報》記者表示,目前,攻擊網貸平臺的黑客主要有三種類型。

第一種是碼農愛好者。該類人群基于個人興趣愛好,喜歡抓取軟件漏洞,并將測試結果告知平臺?!斑@種黑客與平臺是相互促進的關系?!蓖踅ㄕ抡f。第 二種是職業性攻擊者。該黑客受到同行、高額借款者以及個人恩怨當事人的雇用,攻擊平臺。第三種是敲詐勒索者。這一類黑客會進入系統數據庫,提取信息,并對 平臺進行金錢要挾,“一旦網站受到黑客攻擊,導致投資者無法訪問網站及平臺提現困難,將會引起恐慌進而發生擠兌。”

本報記者了解到,今年以來,人人貸、拍拍貸、翼龍貸等多家網貸平臺均遭受過黑客攻擊,被迫關閉服務器,短暫停止服務。

行業內普遍認為,黑客攻擊平臺有三大指向性,分別是名氣較大的平臺、采用模板的平臺以及高息平臺。

一位業內人士對《第一財經日報》記者透露,由于成本受限,目前行業自主開發系統軟件的平臺數量不多,更多的平臺選擇購買“模板”,模板的價格也 高低不等。“在淘寶,最便宜的200元即可購買一套,而成熟軟件的模板供應商根據系統等級,定價在3萬到50萬不等。”該業內人士指出,由于系統內核相 同,如果一個漏洞被發現,將會引起大批量平臺漏洞爆發,黑客選擇這樣的平臺“既經濟又高效”。

本報記者梳理后發現,一家名為融都科技的互聯網金融方案提供商在官網上寫道:“300家P2P網貸系統客戶,30%市場占有率?!绷硪患颐麨?“綠麻雀系統”的網站宣稱:“綠麻雀系統是一款專業的P2P網貸程序,公司提供P2P網貸平臺的全方位技術支持和網站運營策劃?!痹谠摼W站案例一欄可發現 使用該系統的部分網貸平臺,包括融易信、易天貸、西部聚財、大地貸、盛世匯盈、雪山貸、國安貸等29家網貸企業。

隨后,本報記者瀏覽淘寶網和中國供應商兩大平臺,輸入“P2P系統”關鍵詞后,淘寶共列出寶貝658件,最高價格達98000元。中國供應商更 是顯示出343754條報價信息。由青島創元軟件科技有限公司開發的價值6000元一套的P2P網貸程序在頁面標注著“110套起批”。

自建系統成本高

面對“來勢洶洶”的黑客,模板系統存有“先天不足”,業界普遍認可的應對措施是平臺自建系統。但業界人士也坦言,擁有獨立系統面臨諸多現實困難,如耗費時間長、系統不穩定,成本更高等。

據了解,目前國誠金融的平臺系統系獨立開發,包括人力和軟件在內,年投入額達100萬元,隨著規模的增加,未來年投入額將增加至300萬?!白约洪_發是個無底洞?!蓖踅ㄕ抡f。

這個無底洞還體現在服務(57.55, 0.53, 0.93%)器上,同平臺系統相似,服務器有平臺獨立購買和使用云服務器兩種方式。以阿里云為例,一臺服務器一年的托管費用為4萬元,如果該平臺需要6臺 服務器,那么年成本在24萬左右。如果單獨購買服務器,每臺成本為6萬元?!百徺I費用不是最主要的,更重要的是購買后該服務器需要到電信做托管,以保證服 務器72小時不間斷電源?!蓖踅ㄕ聦Α兜谝回斀浫請蟆酚浾哒f,行業內有些平臺號稱獨立服務器,但這些服務器沒有去電信做托管,而是放置在企業機房內,一旦斷電將造成數據大量流失。

證大財富總經理賀牧在2014年7月12日“如何做一名合格P2P投資者”論壇上表示,網絡信息安全不僅僅是指防范黑客的攻擊,還有平臺對互聯網系統的投入。2012年底,證大E貸平臺曾經發生過硬盤被燒毀、數據丟失事件。該事件后,證大財富加大設備投入,據賀牧透露,三年來針對網絡系統累計投入已達1000多萬元,其中人員費用占比六成,設備費用占比四成。目前不包含平臺運營端的人數,證大E貸的IT團隊人數已達80人。

用戶信息泄露亟待解決

P2P加速膨脹不僅體現在平臺數量上,更體現在選擇這一理財方式的投資者規模上。網貸之家《2014中國網絡借貸行業上半年報》數據顯示,截至 2014年上半年,我國P2P網貸平臺投資人達44.36萬人,而這一數字幾乎為2013年全年投資人數量25.05萬人的2倍。P2P網貸平臺介入者倍 數增加的背后是大量的個人信息被平臺所掌握,個人信息安全急需得到重視和保護。

2013年10月24日,人人貸發布用戶個人信息安全提示公告,公告指出,人人貸工作人員在與用戶溝通過程中,發現個別用戶注冊人人貸賬戶時發 生身份信息已被占用的情況。經工作人員調查發現用戶曾在某P2P平臺注冊并提交過身份信息,該平臺盜用了用戶信息在人人貸網站上注冊并用于發布廣告。

用戶信息泄露已經成為亟待解決的問題,而用戶實名認證時,是否需要上傳身份證也成為投資人和平臺關注的熱點。

據了解,目前部分平臺在實名認證環節無需上傳身份證,如愛投資、積木盒子、合力貸、諾諾磅客等。

選擇無需上傳身份證的平臺認為,這種方式一方面造成較差的用戶體驗,另一方面也存有信息泄露風險?!靶畔⒄鎸嵭越壎▊€人利益,如果平臺注冊信息與銀行卡信息不匹配,投資者將無法提現,因此投資人沒有造假的必要?!?/span>

要求上傳身份證的平臺更多出于成本的考慮,“目前,網貸平臺和公安部實名認證可以對接,但每查詢一次就要5元錢,還不管成功與否?!睆娦幸笸顿Y人上傳身份證對平臺來說無疑十分“經濟”。

本報記者還了解到,針對用戶信息安全問題,過去兩年部分平臺還曾發生黑客入侵造成投資人利益受損的案例。黑客入侵平臺系統后臺,將投資人實名認 證信息與提現銀行卡相關信息修改為黑客本人信息,導致投資人盈利流入黑客賬戶?!艾F在主流平臺基本都無需上傳身份證,這也是行業內的發展趨勢?!蓖踅ㄕ?說。

2014年年初,銀監會副主席郭利根在一次論壇上表示,互聯網金融要牢牢守住信息安全底線,增強互聯網金融的風險抵御能力,真正促進互聯網金融行業健康地發展。

來源:第一財經日報

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
評論
評論請登錄
  1. ??

    來自貴州 回復
    1. 寫的不錯 ?? 學習了! ??

      來自貴州 回復