網貸平台斗黑客：用戶信息、資金安全被「盯梢」

網貸平台在技術力量薄弱的情況下會委託系統開發商進行數據託管、系統維護，一旦資料庫不由平台掌控，就會面臨客戶資料泄露、資金流動失誤等潛在風險。

「我們被盯上了」，一網貸平台後台人員表示，黑客攻擊無處不在，以此為由勒索網貸平台的事情常常有之。

近日，公安部門破獲了一起特大竊取販賣公民個人信息案件。該案件的主要犯罪嫌疑人是京東內部員工。京東發表聲明稱，該嫌疑人名為鄭某鵬，於2016年入職京東，目前還處於試用期。

警方表示，鄭某鵬在工作一段時間獲取信任后，利用工作之便竊取網站的核心數據。在信息竊取成功后，則離開該公司，繼續到下一知名網站繼續應聘、竊取信息。

事實上，大公司曝光出來的數據泄密事件只是冰山一角，以P2P為代表的互聯網金融也時常遭遇黑客攻擊。「P2P網貸成為網路安全的重災區。」中央財經大學金融學院教授郭田勇在接受《法制日報》記者採訪時表示。

黑客攻擊 用戶信息遭洗劫

據國家互聯網金融安全技術專家委員會數據顯示，截至2017年2月28日，系統共發現互聯網金融網站漏洞1023個，系統監測到針對互聯網金融網站的網路攻擊達105萬次，其中木馬攻擊最多，佔比過半，其次是DDOS攻擊和殭屍網路。

DDOS攻擊是指黑客通過向伺服器提交大量請求，使伺服器超負荷崩潰，從而干擾甚至癱瘓網路通訊。

相關人士表示，目前互聯網金融行業存在很大的安全隱患，客戶信息泄露、支付漏洞、惡意攻擊等為雲平台的普及帶來了新的威脅。

3月12日，廣州公安發布了一則通報，通報稱，一國資網貸平台遭受黑客網路攻擊，導致官網平台一度無法訪問，大量用戶交易停滯。事件發生后，該網貸平台負責人立即向越秀警方報案。

據了解，接報警后，廣州越秀警方成立專案組對案件展開調查。經過5日的連續追蹤，民警鎖定黑客攻擊的幕後黑手。2月23日，專案組民警在山東德州警方的協助下，在當地將犯罪嫌疑人李某抓捕歸案。

據了解，該國資網貸平台為金融街在線。金融街在線方面表示，黑客對金融街在線網站連續發起流量攻擊(DDOS)多達18次，峰值流量高達63G。

此前，多家P2P行業相關公司都被黑客攻擊過，一些實力相對較弱的小平台更是被黑客重點關注，在黑客的惡意攻擊中，甚至導致用戶姓名、身份證號、手機號、郵箱、銀行卡信息等各種用戶信息遭洗劫。

平台頻頻被「盯梢」

「黑客攻擊網貸平台，一些可能是想敲詐勒索，一些則有可能是來自競爭對手。」一位業內人士表示。

數據顯示，全國80%以上的平台均受過不同程度的黑客攻擊。互聯網金融新聞中心梳理髮現，2017年春節前，上海P2P平台「來財街」的一則公告讓投資者炸開了鍋。「接到神的旨意來懲罰你們這些貪婪的投資人……我們帶著近一億現金人民幣跑路了……」

1月20日，該平台發布聲明稱「奇葩公告」為黑客所為，而據其此前的公告，公司絕無跑路行為，2月10日假期結束后將給大家結算。長達23天的春節假期結束后，今天距離該公司承諾兌付的時間已過去一周，多名投資者表示，現在即使提現成功，「也一直不到賬」。

有業內人士表示：「平台平時應做好一系列的防黑客入侵預案，當黑客真的光顧了平台後，做到不慌不忙、按部就班、有序處理，首先做好客戶的安撫和解釋工作，防範引發集中提現、提前兌付等系統性風險。其次是收集數據，採取法律手段來維護自身權益。」

2016年10月，上市系網貸平台愛投資發布公告稱，網站在10月9日遭遇Ddos攻擊，峰值高達29G每秒。2016年3月，國資系網貸平台中融通貸發布公告稱，網站受到黑客攻擊，造成用戶無法正常使用。

除了網貸平台，第三方平台也難逃黑客魔爪。網貸之家在2014年3月16日後，持續多日受到黑客嚴重惡意攻擊。與此同時，網貸天眼、第一網貸等多家第三方網貸資訊平台均表示遭黑客攻擊，部分網站遭到勒索。

「買模板」搭平台

安全問題已經日漸突出，正在成為影響互聯網金融發展的新威脅。在P2P領域，廉價版系統（不僅指價格，也指功能）將成為網貸平台的噩夢。

據悉，目前中小型的P2P機構中，花20萬-50萬「買模板」搭平台的不在少數，部分機構的後台則是外包給第三方機構運營，成本投入約70萬-100萬。

某網貸系統銷售平台截圖

媒體報道稱，某知名投資公司曾對100家P2P網貸平台調研后發現，90%以上的P2P平台都是使用模板網站。到淘寶網搜索「網貸平台」或「P2P網貸」，跳出來的頁面充斥著從幾百元到幾千元不等的「最新P2P借貸平台」、「P2P借貸平台源碼」等商品。

社科院金融所法與金融研究室副主任尹振濤指出，黑客尋找漏洞攻擊國內知名大平台，主要與互聯網技術本身相關，即便是大平台，投入再大的人力物力研發系統，也同樣會存在不可預知的漏洞。「因為，技術總歸是人設計的。這隻能通過技術的不斷迭代去彌補漏洞。」

「沒有100%的安全，我們做了這麼多安全措施，也只是拖延黑客攻破的時間。但這就已經足夠了，在這些安全措施換取到的寶貴時間裡，我們可以抓緊研究後續的應急措施。」有業內人士指出。

多數防護能力為零

據媒體報道，全國人大財經委員會副主任委員吳曉靈早前指出，調查發現，凡是選擇廉價P2P軟體的大多不靠譜。他們不僅沒有專業的運營團隊，更沒有對風控的把握能力，在技術、安全方面幾乎為零。

「這樣的平台不跑路就奇怪了。一個P2P平台光是軟體的投入就要上百萬，整個運營下來沒有800-1000萬是搞不定的。」 吳曉靈表示，一些廉價的P2P平台一點也不靠譜，打著P2P的旗號，經營過程中存在著非法集資的影子，對整個P2P行業的發展非常不利。

尹振濤分析稱，針對安全防範不健全的小平台，則是因為在互聯網野蠻生長過程中，埋下了風險隱患，「那些對技術投入小，不重視金融安全風險的平台，受惡意攻擊情況就會很突出。同時，『蒼蠅不叮無縫的蛋』，這些平台可能也存在著這樣或那樣的『不可告人的秘密』，也給不法分子留下了機會」。

早前，平安董事局主席馬明哲曾表示，P2P網貸平台其技術要求不亞於銀行，甚至比銀行還要高。「但現實情況是，大多數P2P網貸平台無論在架構、資料庫、安全防範方面，應對黑客的攻擊能力幾乎為零。」

據介紹，P2P網貸平台在技術力量薄弱的情況下會委託系統開發商進行數據託管、系統維護，一旦資料庫不由P2P平台自己掌控，就會面臨客戶資料泄露、資金流動失誤等潛在風險。

多位業內人士建議，網貸平台系統的開發和維護最好獨立掌握，一方面在平台出現問題時對可以及時發現漏洞及時修復，另一方面可以將核心數據掌握在平台手中，降低因購買網貸交易系統導致的潛在風險。

玖富相關負責人指出，應對黑客的光顧首先要做到自身的有效防護，從程序框架、安全防範、數據保密、二次加密等方面規避安全漏洞；其次是與一些安全機構合作，做到常態的滲透測試，防範網路攻擊；必要時，平台應及時聯合公安機關網警對黑客進行追蹤。此外，平台也希望監管提高行業准入門檻，對於不具備一定能力的企業不合規的企業進行清理。

警方：平台要落實好主體責任

也業內人士指出，「最有效的安全都是不用花錢的，安全最重要的原則是你要有安全意識，最推薦的安全手段是做數據備份，這兩條都是不用花錢的，但是很多平台，只有經歷了血淋淋的教訓，才會意識到這個問題」。

2016年11月7日，全國人民代表大會常務委員會出台首部《網路安全法》，明確要求，網路運營者應當履行安全保護義務，採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改。這意味著平台使用廉價系統，將要承擔嚴重的法律後果，更是標誌著互聯網安全正式告別荒蠻時代。

警方提醒，網貸平台應切實落實網路安全主體責任：一是建立健全網路安全管理制度，嚴格落實網路安全防護技術措施；二是建立系統安全巡檢機制，定期掃描、發現並及時修補安全漏洞；三是嚴格落實《網路安全法》等相關法律法規規定，依照相關標準開展等級保護備案和安全測評，提升系統安全防護能力。一旦發生被非法攻擊的案事件，要迅速做好先期處置工作，並及時向警方報案。

早前，銀監會副主席郭利根指出，要牢牢的守住信息安全的底線，增強互聯網金融的風險抵禦能力，真正促進互聯網金融行業健康的發展。

2017年政府工作報告也提出，對「互聯網金融等累積風險要高度警惕」。從近4年政府工作報告對互聯網金融的不同表述可以看出，正處在清理整頓階段的互聯網金融，其風險不容小覷。

聲明：文章不構成投資建議，轉載請註明出處