中小互联网金融公司是目前中国金融投资行业的中坚力量,投资者将更多的至今投资于这些中小互联网金融公司。由于网络安全制度不完善,中小互联网金融公司频繁受到黑客攻击。
截至去年11月,中国已有165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改甚至倒闭。互联网金融平台及第三方支付系统的安全性与稳定性一直是投资者关注的问题,然而看似多金的互联网金融平台正成为黑客攻击和勒索的理想目标。
双乾支付COO从利波直言:“这些黑客常常自称受雇于竞争对手。攻击成功后,黑客既从雇主处拿钱,也会乘机勒索被攻击方。”与第三方支付平台类似,当下很火的P2P平台也成为黑客们的常驻地,因许多中小平台网站“裸奔”,缺乏专业运维技术人员,黑客仅靠简单的攻击手段就可以导致其瘫痪。更有甚者,一些中小P2P平台未进行数据备份,一旦遭到攻击,就会直接导致用户信息泄露,平台关门倒闭。
汇潮支付冯敏称,汇潮支付常遭到DDoS大流量攻击,导致IDC机房网络带宽出口被堵,用户登录访问速度变慢。从最近的一次攻击来看,基本可以确定黑客受雇于竞争对手。”
除了双乾支付、汇潮支付,汇付天下等第三方支付公司也都表示,受到过类似的攻击。
黑客攻击第三方支付公司的手段多是流量攻击,主要意图是导致用户无法正常访问。而流量攻击无法从根本解决,只能通过流量清洗、加大带宽来应对。
但流量清洗及防护的价格并不便宜,以阿里云的云盾DDoS防护为例,保底包月费用是38600元,按天的弹性付费根据攻击流量的不同,价格从1787元至24453元不等,而具体的收费总额还要看防护情况。此次,双乾支付受攻击,3个小时的云盾DDoS防护就花了16万元。正是基于被攻击公司不舍得花钱的心态,黑客常常开出数万至数百万元不等的勒索金额。
对于黑客攻击是否会导致用户信息泄露,从利波表示:“流量攻击不会涉及到服务系统。第三方支付平台都有灾备机房,对用户信息进行加密备份处理,不会出现这种情况。但一些P2P平台根本没有防护人员,一旦受到攻击,数据被黑客窃取,只能通过备份数据恢复。若平台没有备份数据,只能倒闭。”相较之下,流量攻击像是恶意捣乱,渗透攻击则像是入室盗窃,黑客需利用系统漏洞攻击服务器,窃取或删改平台数据。数据显示,截至去年11月,中国已有165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改以至倒闭。
“黑客盯上P2P平台的主要原因在于,一是第三方系统源码外泄得太厉害,攻击门槛比较低,抵御能力差;二是第三方软件开发商的竞争导致。”王大亨说。如人人贷、拍拍贷、好贷网等多家平台都曾受到黑客攻击勒索。
网站安全服务商安全宝CEO马杰表示,中国整个网站安全水平都比较低,互联网金融由于自身的价值很大,风险性相对显得突出,特别是初创公司,团队过多把精力放在业务创新层面,忽略了信息安全的建设,造成了黑客的可乘之机。
一位资深“白帽子”(专门帮网站寻找漏洞的技术高手)称:“P2P平台成黑客攻击勒索的常驻地,一方面平台的自身金融属性让攻击者觉得对方"人傻钱多",另一方面相对于第三方支付公司,P2P平台的系统漏洞更容易找。攻击者通过渗透攻击,对平台数据进行加密,只有拿到钱才把密钥告知平台。因为解密有难度,平台会选择付钱买密钥,息事宁人。”