热门搜索词

热门文章

  • 功能 | 平台登录安全策略升级及二次认证...

    为了进一步提升平台账号的安全性,防止因数据泄露导致的配置篡改等风险,我们近期对平台的登录安全策略进行了全面的加固与升级。此次升级的核心在于引入了二次认证机制,该机制能够在账号触发异常登录行为时,要求用户再次进行身份验证,从而有效增强账号的保护力度。

  • [公告]11月6日关于报表及日志服务维护...

    接运营商通知,北京时间 2024-11-06 00:00~06:00 将对报表及日志服务所在机房进行割接维护。在此期间,可能会导致报表查询/下载及日志下载不可用。若您有相关操作需求,请避开此时段进行。

  • [公告]11月2日知道创宇云防御平台升级...

    知道创宇云防御平台将于北京时间 2024-11-02 01:00 至 2024-11-02 03:00 进行升级维护。升级时间预计两小时,在此期间,知道创宇云防御平台将暂停访问,若您有需要通过云防御平台进行操作的需求,请避开此时间段,提前或在升级完成后进行处理。

关注知道创宇云防御

获取最新安全动态

P2P再成黑客“被宰羔羊” 网络安全成新挑战

来源:知道创宇云防御 2015.06.17

据一位网络安全人士透露,目前许多P2P平台都没有数据传输加密设置(即https),也就是说,如果你在公共场所连接wifi并在某些P2P平台投资,而现场正好有黑客在监听该wifi,那么你的密码可能就会被黑客获取。“这个成本低到几百块钱就可以搞定,但是很多平台包括大平台,都没有去解决。”

此外,近期不少知名P2P平台的高危漏洞,也频频被曝光,甚至某平台的数据库被挂在国外黑客数据库交易。

黑客来袭,P2P平台再成“被宰羔羊“

6月15日,包括信融财富、宝点网等多家P2P平台的网站遭遇流量攻击,造成网站无法打开或访问速度缓慢。

信融财富首席信息官李斌在接受网贷之家采访时表示,15日一早,信融财富官网遭遇了不名来历黑客的DDOS持续攻击。确认IDC短时间内无法恢复后,平台启动了应急预案,启用了基于腾讯云的灾备设备。

对于用户数据及资金安全,他指出,信融财富在广州和深圳建立了多个灾备数据中心,以应对极端灾害的发生,地震、海啸、局部核爆都不会影响到用户数据的安全。但是,由于资源条件限制,信融财富并没有做实时自动切换,几个小时的停机切换,在未来仍有优化空间。目前,信融财富主网站已恢复正常。

值得一提的是,最近,黑客似乎盯上了互联网金融平台,包括翼龙贷、宜人贷以及上海汇付金融服务有限公司(汇付天下的子公司)、融360等多家公司的网站漏洞报告,相继在互联网漏洞报告平台“乌云”被披露。

另据一位网络安全人士透露,某知名互联网金融平台的数据库,被黑客挂在国外黑客数据库交易。“平台自己都不知道怎么回事,裤子已经被脱了(即被拖库),看样子黑客是取得了管理员权限,数据都能看到……”

据悉,黑客利用漏洞获取了该平台的数据,从黑客公开的截图看,涉及用户名、用户口令、银行卡、资金记录等,对用户资料和资金安全构成了严重威胁。

为什么受伤的总是互联网金融平台?

近年来,黑客攻击、黑客勒索等事件在互联网金融行业频频发生,而一些规模越大的平台,遭受的攻击次数可能越多,可谓树大招风。2014年春节前夕,包括人人贷、拍拍贷、好贷网等多家平台,就受到了黑客恶意攻击。

不过,遇到此类事件,不少P2P平台都选择了沉默处理或者破财消灾。

根据世界反黑客组织的通报,中国P2P已成为全世界黑客“宰割的羔羊”。

加速乐高级安全顾问王利伟对此指出,网贷平台系统本身安全漏洞多,攻击门槛低,抵御能力差,这是它们被黑客盯上的一大原因。

“通常,人们会认为大平台的安全性更好,但实际情况证明,也是不堪一击。”他进一步指出,许多互联网金融企业,愿意花几百万、上千万元去砸广告,却不愿在安全方面花费太多。

“网络安全本身是一个很尴尬的问题,因为没有绝对的安全,投入再多钱,也不能保证不出事故。很多老板就想,反正花钱出事,不花钱也出事,还不如少花钱。而相比之下,他们更愿意在平台业务风控方面下血本。”

网络安全问题,为P2P行业敲响警钟

业内人士表示,现在对于很多互联网金融平台来说,大部分没有安全可言。

“安全界最主要的就是密码,但只要暴力破解,没有破解不了的密码,可是很显然,当黑客的攻击成本,远远高于攻击后的收益成本,他们自然就会放弃了。”他指出,加强网络安全,无法杜绝黑客,但可以加大黑客入侵的难度和成本,这是核心。就像安装防盗门,无法完全杜绝小偷,却可降低发生偷盗事件的概率。

“很少听说银行被黑、被拖库的,”王利伟指出,银行的监管、技术体系相对完善,且其安全意识较高,在安全方面都有较多预算。“成熟度高的金融机构,往往将网络安全风险作为其中一个非常重要的维度。”

安全,归根结底是人的问题

据透露,目前许多P2P平台的技术不过关,没有好的运维、开发等专业人员;还有的平台想做好安全防御,但不知怎么做。

“只是买些设备,并不能解决问题,安全是一个体系,归根结底是人的问题。老大重视,给钱给权,有专家指导,知道如何花钱,花到哪,钱不一定要多,适度就好,有很多问题甚至都不用花钱。”

然而,目前,多数P2P平台的管理层安全意识薄弱,并未注意到网络安全的风险。

上述人士称,“平台的技术人员天天吵着提高安全,但是没用,因为他们没钱没权。而当网络安全问题爆发了,影响到公司业务、营收、名誉时,才会引起管理层的高度重视。实际上,网络安全不是老大难问题,老大重视了,就不难。”

英特尔公司安全总经理Kris Young曾公开指出,“网络安全问题已经从机房走向了董事会,这是件好事,企业最终会选择向网络安全及防护领域投入更多的关注和预算。”

网络安全或成P2P平台新课题

在王利伟看来,风控对互联网金融企业的意义不言而喻,但网络安全的风险与控制,也是非常重要的一部分,应引起各大平台的高度重视。

值得欣慰的是,目前部分走在行业前列的P2P平台,在安全投入、防护措施方面加大了投入。与此同时,随着行业的发展,越来越多实力“玩家”进入后,技术门槛或将有所提升。

业内人士同时也建议,监管层在设定P2P平台门槛时,应提出明确的技术标准,从而更好地规范行业发展。

网贷之家/文

售前支持

400-161-0866