经济观察网 记者 陶辉东 IT风险已经成为P2P平台面临的重大风险之一,光是今年4月份以来已经有“民民贷”、“蚂蚁金融”多家P2P平台被媒体报道遭到黑客攻击,其中“芝麻金融”超过8000名投资者的账号密码、手机号等关键信息被泄露,危及用户资金安全,引发行业的高度关注。
国内的P2P平台大多技术实力非常有限,面对黑客攻击往往招架乏力,很多中小平台以几十万元的价格在网上购买平台系统,这些系统漏洞多、更新慢,安全无法保障。移动应用安全服务提供商梆梆安全CEO阚志刚日前对经济观察网记者表示,目前国内P2P平台的网络系统安全水平大多存在严重隐患,“一个小白黑客就能发起攻击”。《21世纪经济报道》曾不完全统计,仅仅在2014年全国超过150家P2P平台遭遇黑客攻击。迪蒙网贷系统CEO向隽曾向媒体介绍,世界反黑客组织曾透露,今后很长一段时间内P2P网贷平台将是全球黑客攻击的首要目标。
实际上,至少从2013年以来,P2P平台就被黑客盯上了,攻击事件屡屡见诸媒体,拍拍贷、人人贷,翼龙贷、红岭创投等业内领先的知名P2P平台都曾中过招。
黑客最常用的攻击方式是利用大量“肉鸡”,发动潮水般的访问攻击,造成平台系统瘫痪,然后趁机向平台勒索,而平台出于各种原因往往会选择妥协。更严重的攻击则是黑客侵入平台系统盗取用户密码等关键信息,如果平台没有做好防护或者资金没有第三方托管,就很容易危及资金安全,严重的将导致平台跑路。2014年七八月份,深圳晓风软件公司服务的一百多家P2P公司集中遭到了黑客的攻击,导致很大一部分被攻击的P2P平台损失惨重,20多家跑路。
对于规模较小的P2P平台而言,投入资金建立成熟的技术团队来应对黑客攻击不太现实。阚志刚介绍,现在即便是一套村镇银行的系统,开发的价格也达到1000万元。一家贵州的P2P平台CEO向记者坦言“黑客太强大了”,对于小平台来说,技术团队最多就是几个人,实在是没有办法独力解决IT风险问题,他希望行业能联合起来共同对付黑客。
在P2P平台的IT风险仍未解决的同时,移动端的安全又面临着新的挑战。邦邦安全目前向积木盒子、陆金所、宜信等国内多家知名P2P平台提供安全服务,阚志刚表示,现在大平台的网站安全水平经过这么多年建设已经比较高,但是在移动端几乎所有平台的应用都存在隐患。目前众多P2P平台在向移动端发展,今后这一领域的安全问题将更加突出。
现在较为规范的P2P平台会采用资金托管的模式,黑客即便窃取了投资人的平台账户和密码,如果要提现,还必须要获得第三方资金托管平台的交易密码并进行通过手机验证,如果黑客侵入了用户的手机,资金安全就面临了更大风险。目前我国手机APP被篡改或盗版,注入外挂、木马程序的风险非常高,尤其在开源的安卓系统中更为严重。
猎豹移动安全实验室今年一月发布报告,显示2014年全年中国有1.2亿部手机感染病毒。360互联网安全中心报告则显示,2014全年累计截获Android平台新增恶意程序样本达326万,去年全年的感染总数达到了3.19亿人次,瞄准手机流量资费以及威胁用户支付安全的恶意程序大幅增加,极易给用户造成损失。如果P2P平台在移动端不能解决系统安全问题,用户面临的风险可能会更大。投资人在选择平台上,也不应忽视平台对IT安全的防护能力。