3月23日凌晨,一则“关于抵制黑客恶意攻击及敲诈勒索”的声明被第三方网贷资讯平台网贷天眼挂在其官网首页,而这则声明发出前两天,该网站由于遭黑客攻击一直访问困难,一度无法打开页面。
无独有偶,上周,网贷之家、第一网贷等多家第三方网贷资讯平台均表示遭黑客攻击,部分网站还遭勒索。随着P2P网贷平台的系统安全问题逐渐暴露,网贷行业系统性技术安全问题受到关注。
在被称为“互联网金融元年”的2013年,上线P2P网贷平台多达数百家,多数网贷平台筹备时间短、上线时间快、交易系统开发商的激烈竞争,导致网贷平台交易系统存在安全隐患,此外,P2P网贷平台专业技术人员短缺等也为黑客带来可趁之机。
黑客致损超百万
3月21日晚上7点,网贷天眼开始遭受黑客攻击,由于攻击强度较大,导致服务器厂商关闭了网贷天眼的服务器;次日上午8时,该网站更换了更高级别的服务器,依旧遭到黑客攻击,访问时断时续。
两个半小时后,有黑客在网贷天眼交流群里向管理员发出勒索信息称,转账5万元到黑客支付宝账户就会停止攻击,并告知无法满足其要求还会持续攻击,随后该网站报警。
与网贷天眼相比,另一第三方网贷平台网贷之家遭黑客攻击的程度更加严重,该网站于上周二遭受黑客攻击以来,截至昨日依旧无法打开。
而此并非孤例,春节前夕,拍拍贷、好贷网、火币网等多家P2P网贷平台遭黑客攻击,平台页面无法打开,致使投资人无法登录平台投资和提现,平台负责人随后收到黑客几千至几万不等的敲诈信息。
网贷天眼创始人侯滨认为,去年因黑客原因导致资金损失保守估计达500万元,这不包括P2P网贷平台为了避免黑客再次攻击而付出的成本。
“黑客攻击P2P平台之后,投资人无法进行正常的操作,时间久了,将会影响平台的信誉和投资人的忠诚度。”网贷之家CEO徐红伟说,老牌P2P技术力量相对强大,技术上比较稳健,但多数平台技术人员匮乏,面对黑客的强势攻击平台大多束手无策,最终“舍财消灾”。
而由技术人员的短缺导致的技术风险正成为网贷行业面临又一大风险。在网贷业内人士看来,3~5个技术人员属于P2P平台标准配置,在国内一线城市,技术人员容易配置,而二三线城市技术人员不但数量较少,且专业能力也与一线城市差距较大。
网贷安全亟待重视
来自黑客的威胁正成为网贷行业面临的最大技术风险。按照黑客的操作逻辑,其主要通过两个途径威胁P2P交易安全和平台的正常运行。
一是获取管理员权限,按照正常投资流程,投资人先在P2P平台注册账号,然后通过线上或第三方支付充值到该账号,之后再进行投资。
而黑客则以投资人身份在P2P平台注册,并通过线上线下等方式在平台或第三方支付账户里充值,在充值过程中把网络页面停留在银行界面,随后关闭。虽然没有充值成功,但投资人充值状态在平台交易系统内显示为“待审核”,随后黑客通过技术手段获取管理员权限,将状态修改为“已审核”,此时该黑客账户里便显示充值资金,然后黑客再通过多种途径提现。
另一种方式在技术上则相对困难,黑客需要对网贷交易系统的构架非常了解,能够很快在系统内找到网贷资金的数据库,数据库有投资人和借款人的详细信息,包括待收金额、站岗资金以及身份证、密码等重要数据,黑客通过对数据库里账户的资金信息进行修改,提高账户资金额度,然后再通过多种途径套现。
“这是隐形的黑客袭击,平台表面上察觉不到,但是事后对账会发现问题。”侯滨介绍说,而这些问题解决则需要P2P网贷平台自身有足够的专业人员进行维护,以保证客户资料安全、资金安全。
《第一财经日报》记者在采访中了解到,P2P网贷平台在技术力量薄弱的情况下会委托系统开发商进行数据托管、系统维护,一旦数据库不由P2P平台自己掌控,就会面临客户资料泄露、资金流动失误等潜在风险。
多位接受采访的业内人士建议,网贷平台系统的开发和维护最好独立掌握,一方面在平台出现问题时对可以及时发现漏洞及时修复,另一方面可以将核心数据掌握在平台手中,降低因购买网贷交易系统导致的潜在风险。