P2P再成黑客“被宰羔羊” 网络安全成新挑战

来源:知道创宇2019.06.20

据一位网络安全人士透露,目前许多P2P平台都没有数据传输加密设置(即https),也就是说,如果你在公共场所连接wifi并在某些P2P平台投资,而现场正好有黑客在监听该wifi,那么你的密码可能就会被黑客获取。“这个成本低到几百块钱就可以搞定,但是很多平台包括大平台,都没有去解决。”

此外,近期不少知名P2P平台的高危漏洞,也频频被曝光,甚至某平台的数据库被挂在国外黑客数据库交易。

黑客来袭,P2P平台再成“被宰羔羊“

6月15日,包括信融财富、宝点网等多家P2P平台的网站遭遇流量攻击,造成网站无法打开或访问速度缓慢。

信融财富首席信息官李斌在接受网贷之家采访时表示,15日一早,信融财富官网遭遇了不名来历黑客的DDOS持续攻击。确认IDC短时间内无法恢复后,平台启动了应急预案,启用了基于腾讯云的灾备设备。

对于用户数据及资金安全,他指出,信融财富在广州和深圳建立了多个灾备数据中心,以应对极端灾害的发生,地震、海啸、局部核爆都不会影响到用户数据的安全。但是,由于资源条件限制,信融财富并没有做实时自动切换,几个小时的停机切换,在未来仍有优化空间。目前,信融财富主网站已恢复正常。

值得一提的是,最近,黑客似乎盯上了互联网金融平台,包括翼龙贷、宜人贷以及上海汇付金融服务有限公司(汇付天下的子公司)、融360等多家公司的网站漏洞报告,相继在互联网漏洞报告平台“乌云”被披露。

另据一位网络安全人士透露,某知名互联网金融平台的数据库,被黑客挂在国外黑客数据库交易。“平台自己都不知道怎么回事,裤子已经被脱了(即被拖库),看样子黑客是取得了管理员权限,数据都能看到……”

据悉,黑客利用漏洞获取了该平台的数据,从黑客公开的截图看,涉及用户名、用户口令、银行卡、资金记录等,对用户资料和资金安全构成了严重威胁。

为什么受伤的总是互联网金融平台?

近年来,黑客攻击、黑客勒索等事件在互联网金融行业频频发生,而一些规模越大的平台,遭受的攻击次数可能越多,可谓树大招风。2014年春节前夕,包括人人贷、拍拍贷、好贷网等多家平台,就受到了黑客恶意攻击。

不过,遇到此类事件,不少P2P平台都选择了沉默处理或者破财消灾。

根据世界反黑客组织的通报,中国P2P已成为全世界黑客“宰割的羔羊”。

加速乐高级安全顾问王利伟对此指出,网贷平台系统本身安全漏洞多,攻击门槛低,抵御能力差,这是它们被黑客盯上的一大原因。

“通常,人们会认为大平台的安全性更好,但实际情况证明,也是不堪一击。”他进一步指出,许多互联网金融企业,愿意花几百万、上千万元去砸广告,却不愿在安全方面花费太多。

“网络安全本身是一个很尴尬的问题,因为没有绝对的安全,投入再多钱,也不能保证不出事故。很多老板就想,反正花钱出事,不花钱也出事,还不如少花钱。而相比之下,他们更愿意在平台业务风控方面下血本。”

网络安全问题,为P2P行业敲响警钟

业内人士表示,现在对于很多互联网金融平台来说,大部分没有安全可言。

“安全界最主要的就是密码,但只要暴力破解,没有破解不了的密码,可是很显然,当黑客的攻击成本,远远高于攻击后的收益成本,他们自然就会放弃了。”他指出,加强网络安全,无法杜绝黑客,但可以加大黑客入侵的难度和成本,这是核心。就像安装防盗门,无法完全杜绝小偷,却可降低发生偷盗事件的概率。

“很少听说银行被黑、被拖库的,”王利伟指出,银行的监管、技术体系相对完善,且其安全意识较高,在安全方面都有较多预算。“成熟度高的金融机构,往往将网络安全风险作为其中一个非常重要的维度。”

安全,归根结底是人的问题

据透露,目前许多P2P平台的技术不过关,没有好的运维、开发等专业人员;还有的平台想做好安全防御,但不知怎么做。

“只是买些设备,并不能解决问题,安全是一个体系,归根结底是人的问题。老大重视,给钱给权,有专家指导,知道如何花钱,花到哪,钱不一定要多,适度就好,有很多问题甚至都不用花钱。”

然而,目前,多数P2P平台的管理层安全意识薄弱,并未注意到网络安全的风险。

上述人士称,“平台的技术人员天天吵着提高安全,但是没用,因为他们没钱没权。而当网络安全问题爆发了,影响到公司业务、营收、名誉时,才会引起管理层的高度重视。实际上,网络安全不是老大难问题,老大重视了,就不难。”

英特尔公司安全总经理Kris Young曾公开指出,“网络安全问题已经从机房走向了董事会,这是件好事,企业最终会选择向网络安全及防护领域投入更多的关注和预算。”

网络安全或成P2P平台新课题

在王利伟看来,风控对互联网金融企业的意义不言而喻,但网络安全的风险与控制,也是非常重要的一部分,应引起各大平台的高度重视。

值得欣慰的是,目前部分走在行业前列的P2P平台,在安全投入、防护措施方面加大了投入。与此同时,随着行业的发展,越来越多实力“玩家”进入后,技术门槛或将有所提升。

业内人士同时也建议,监管层在设定P2P平台门槛时,应提出明确的技术标准,从而更好地规范行业发展。

网贷之家/文

流行 Ruby 库曝出恶意后门代码,始作俑者未知

热门搜索词

创宇盾抗D保HSTSSNI

热门文章

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

  • 微软宣布 Windows 11 将原生整合网络钓鱼保护

    在 4 月 5 日的活动中,微软宣布了适用于 Windows 11 系统的新安全功能,从而在操作系统层面提供网络钓鱼保护。通过 Microsoft Defender SmartScreen,微软提供网络钓鱼的检测和保护,保护 Windows 11 设备免受恶意程序侵害。

关注知道创宇云安全

获取安全动态