家居优品

数据漏洞大爆发技术安全已成互金行业软肋注意

2020-11-20 13:20:07 来源: 武汉家居网

数据漏洞大爆发 技术安全已成互金行业软肋

和讯讯 “根据世界反黑客组织的最新通报,中国P2P已经成为全世界黑客宰割的羔羊。”早在去年年底,中国人民银行原副行长、国家外管局原局长吴晓灵就对中国P2P技术安全问题如此表态。而据《2014年互联金融行业安全漏洞分析报告》的不完全统计,截至2014年底,已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空。

多家为互联金融行业提供技术安全服务的公司对和讯表示,2014年到2015年,互联金融行业数据漏洞的曝光数量已经呈现了爆炸式的增长,信息泄露屡见不鲜,钓鱼和劫持等社会工程学攻击严重威胁民的资金安全。技术问题俨然成为行业的“拦路虎”。

疯狂的黑客

据报道,7月24日早上9时许,一家互联科技公司向深圳市公安局反信息诈骗咨询专线报案,称客户多笔资金未按时到帐。但公司财务核对,需向客户支付的款项早已汇出

。之后,事主发现有8个商户的帐户资料被黑客通过络入侵篡改成自己的银行账号,该公司财务向8个陌生账号汇去款项共计1600万元。最终在多方努力下,成功拦下了被骗款共计1456万元。

和讯梳理后发现,像这样的黑客入侵服务器非法窃取相关信息牟利已经不是第一次。

今年4月,名为“芝麻金融”的P2P平台被曝出因黑客袭击造成了超过8000名投资者的信息被泄露;8月11日,媒体报道,27岁的杜某利用电脑技术,植入木马病毒,从南京一家络金融公司的财务账户,转走了10多万元。从全球范围内来看,反病毒机构卡巴斯基实验室2月16号就已经发布报告称,络黑客至少从全球银行窃走了10亿美元,最厉害的能让ATM机自动吐钱。

在黑客面前,中国的互联金融企业做好准备了吗?

广东壹宝资产管理有限公司副总经理徐晓锋告诉,黑客攻击的目的主要有两种,一种是广撒,大范围的寻找“肉鸡”,向尽可能多的服务器发出尝试性攻击和渗透请求,随机选择性较强。他表示,壹宝贷平台的云盾防火墙,每天都会监测到这种类型的非法请求。另一种是黑客出于”黑产”链条,具有商业目的,为了窃取数据等动机,对某些平台发动针对性攻击,但这种类型的攻击相对比较少见。

从第三方技术安全公司来看。绿盟科技深圳互联金融安全研究负责人赖东方表示,互联金融公司的漏洞现在浮现出来的只是冰山一角,“只要是我们检测过的,都会有大大小小的漏洞。”在这些漏洞中,从2014到2015年来看,跟业务和权限管理相关漏洞占了比较大的比重,且重复漏洞较多。

爱加密CEO高磊则认为,支付的客户体验与安全性成反比,因为追求支付的简单易操作化,现在支付的安全性不断下降,他估计相关技术漏洞所造成的损失高达每年数百亿。

漏洞或成同业竞争工具

随着2014年互联金融行业的爆发式增长,行业的发展让类似p2p借贷系统开发公司这样提供技术支持的配套服务公司也迅猛生长。但这些提供系统的开发平台本身是否也存在漏洞,让人存疑。

2014年,晓风安全贷系统漏洞事件就为广大的互联金融公司敲响了警钟。

2014年5月,国内某互联安全问题反馈平台曝出P2P平台“共信赢”系统存在严重安全漏洞,称“某P2P贷系统涉及金钱交易数千万”。

后经调查证实,该P2P贷系统就是晓风安全贷系统,并爆出共有114家企业使用该系统。最终多家该系统的使用者暂停了面向客户提现、充值等功能。

虽然晓风安全贷在其官发布正式声明称,所谓“系统漏洞”真相是某竞争对手操控络黑公关,故意拿早被修复的旧版本问题做文章,藉以抹黑对手提高自己。但一位不愿具名的p2p业内人士表示,他并不这么认为。他表示,晓风安全贷就是辟谣,也没有办法自圆其说。

因为此类公司都是将服务打包销售,所以购买了旧版本的用户,也需要付费才能升级。即使是晓风安全贷升级前的数据泄露了,对在其平台上托管了系统的贷公司而言也是有风险的。

在的采访中,一位技术安全人士匿名指出,P2P贷上下游行业各种安全漏洞,暗雷遍布,已是行业普遍现象,也有同行之间拿漏洞做文章。

该匿名人士表示,这些公司之间确实竞争很恶劣。根据该匿名人士的线索,和讯梳理发现,8月3日,在一篇名为《最安全P2P贷系统“花落贷齐乐”》的文章中称,贷齐乐以3372票的高票夺得冠军。但仅仅过了4天,有漏洞报告平台便发文《灾难!P2P贷系统贷齐乐爆严重安全漏洞影响大量平台》,文中声称,白帽子(正面黑客)发现,该系统多处存在SQL注入漏洞,可影响大量P2P贷站。并提第46届东盟外长会议6月30日在文莱首都斯里巴加湾举行。尽管会前各方极力呼吁避免重蹈去年外长会未能发布联合声明的尴尬醒投资人注意资金安全。

该匿名人士指出,这一现象的原因可能是贷齐乐太过高调惹到同行,遭到黑客报复,结果被公布严重漏洞。匿名人士认为,不管是不是同行倾轧,产业链内的公司多多少少有漏洞是无可置疑的,如果太过张扬就会被公布。

行业内的风险不仅仅只是存在于互相揭发对方的漏洞。融金宝CEO陈喜坚表示,现在大部分p2p公司的站都是托管在云服务器上,加之p2p行业流动性很强,如果A平台的某位技术人员到B平台任职,在托管服务器一致的前提下,不一样的只是用户名和密码,如果该技术人员由于某些原因要黑掉前公司,不存在太大的难度。

他同时表示,对于自建机房和服务器的平台而言,有些外部攻击,比如超过上限的流量攻击,即使平台没有技术漏洞,此种类型攻击依然能让平台遭受潜在损失。比如某些目的方可能会利用这一点,堵塞你的通道,虽然这一行为不会造成客户数据的丢失,但可以降低用户体验,最终达到让用户流失的目的。

技术漏洞严重被忽视

业内人士指出,IT技术一直是P2P行业的短板,一旦存在安全漏洞,非常容易引来黑客、病毒等络入侵。但技术漏洞对于互联金融企业依然是,一直在那里,从未被解决。

当下,互联金融行业的热点议题是征信、存管、上市等,但如何从根本上加强技术力量建设,保护投资人的信息及资金安全却鲜有讨论。

对于出现这种现象的原因,赖东方认为,一方面是互联公司对技术安全认识不够,有些小公司遭受了攻击,却浑然不觉。而且有些老板并不是技术出身,对于相关安全问题完全不了解。另一方面,他认为在深圳依然十分缺乏互联安全技术人才。

徐晓锋认为,很多平台搭建初期为了业务并没有考虑更多,导致安全意识不够。加上技术人员的疏忽,并没有认真检查代码细节,给黑客钻了空子。

但这种观点,陈喜坚却并不认可。他认为,互联金融公司没有投入足够的耐心做技术,主要原因还是资金问题。

“成本太高,如果要自己建设的话,不是零碎的钱可以做下来的,而且投入了之后能不能收回来还是一个问题。”陈喜坚向和讯算了一笔账,融金宝到现在为止仅服务器等硬件投入就已经超过500万,这还不算上技术和安全人员的工资、房租以及水电费。他表示,互联金融现在被不了解实际运营细节的人认为是门槛很低的行业,几万块就可以建站上线。但如果把技术安全建设纳入到成本考量的话,该行业的准入门槛将会大大提高。他认为,随着未来行业发展的成熟度提高,将会有因为技术安全问题而导致平台倒闭的事情发生。

高磊认为,这几年是互联金融业务为王的时代,各大互联金融公司着力于提升用户量和资金量,作为最基层的技术安全问题被理所当然的忽视了。他认为这存在一个成长周期,近几年相关技术问题层出不穷,但从这一两年开始重视。未来,互联金融公司的技术安全力量会越来越完善。

律师:处理互联金融犯罪有完备的法律依据

“互联金融犯罪不过是传统金融犯罪加了一层高科技的外衣而已。”大成律师事务所律师滕元庆认为,互联金融犯罪利用了高科技,但犯罪的构成要件,并没有发生实质性的改变。在他看来,现有的法律体系已经比较完备,足以应对现在的行业发展,不需要为互联金融行业特设相关法律法规。

如果投资人的信息被黑客窃取并导致了损失。他表示,这适用于民法的过错承担原则:谁的谁来承担。如果设置虚假标,可以考虑认定诈骗;如果自设资金池,可以认定为非法集资。在相关法律法规早已对这些行为作出了规定的情况下,为何互联金融平台出现的违规跑路、信息被盗的事件,****的处理却显得滞后。他认为这是法律与实务的脱节造成的。在新型犯罪手段下,****很难认定行为是罪还是非罪。

所以他建议,需要充分发挥律师的力量。从执法机关的角度,可以召集律师组成智库,将相关互联金融案件隐去姓名后,由律师出具专业法律意见,帮助警方判断;投资人方面,可以在考察互联金融公司时,将该公司是否有顾问律师作为考察对象;对于P2P公司而言,需要聘请律师或与律所合作,监控流程,避免相关风险。

业内:多种方式加强技术安全“内功”

虽然法律法规已经足够完善,但互联金融公司仍需加强内功,防范安全风险。

这一点上,陈喜坚认为随着大数据和征信业务的发展,云服务器将无法承载相关业务要求。他表示,对于大规模的互联金融公司而言,一定会自建机房;对于小型的互联金融公司而言,将会从不太安全的云服务器转移到较为安全的机房。

高磊持同样观点。他认为,规模较大的互联金融企业,将会自建,虽然投入巨大。但小型互联金融公司将会继续依赖专业的第三方技术安全团队。

赖东方认为,现今的互联金融安全行业已经开始起步了,未来三到五年会越来越好。但这两年,技术安全方面,互联金融公司将还是依赖第三方公司。

徐晓锋认为互联金融公司一定要建设立体的安全体系。他认为单纯追求高规格机房并不能阻止所有的攻击。需要从制度方面规范,避免技术员犯错;提高硬件水平,防范流量攻击;增强软件建设,提高web安全,防止非常规上传等程序性漏洞;最后便是做好数据库安全的防范,建立多个机房动态切换机制,当机房起火、服务器故障、电缆断裂的非常规情况发生,可以有效应对。

黄石治疗白癜风重点医院
漳州牛皮癣治疗费用
碧凯保妇康栓包装
本文标签: