技术安全成互金行业软肋 数据漏洞频频爆发
【摘要】记者了解到,早在去年年底,中国人民银行原副行长、国家外管局原局长吴晓灵就对中国P2P技术安全问题如此表态。而据《2014年互联网金融行业安全漏洞分析报告》的不完全统计,截至2014年底,已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空。有人甚至称:“根据世界反黑客组织的最新通报,中国P2P已经成为全世界黑客宰割的羔羊”。
记者了解到,早在去年年底,中国人民银行原副行长、国家外管局原局长吴晓灵就对中国P2P技术安全问题如此表态。而据《2014年互联网金融行业安全漏洞分析报告》的不完全统计,截至2014年底,已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空。有人甚至称:“根据世界反黑客组织的最新通报,中国P2P已经成为全世界黑客宰割的羔羊”。
多家为互联网金融行业提供技术安全服务的公司对和讯网表示,2014年到2015年,互联网金融行业数据漏洞的曝光数量已经呈现了爆炸式的增长,信息泄露屡见不鲜,钓鱼和劫持等社会工程学攻击严重威胁网民的资金安全。技术问题俨然成为行业的“拦路虎”。
【黑客疯狂涌入】
据报道,7月24日早上9时许,一家互联网科技公司向深圳市公安局反信息诈骗咨询专线报案,称客户多笔资金未按时到帐。但公司财务核对,需向客户支付的款项早已汇出。之后,事主发现有8个商户的帐户资料被黑客通过网络入侵篡改成自己的银行账号,该公司财务向8个陌生账号汇去款项共计1600万元。最终在多方努力下,成功拦下了被骗款共计1456万元。
和讯网梳理后发现,像这样的黑客入侵服务器非法窃取相关信息牟利已经不是第一次,今年4月,名为“芝麻金融”的P2P平台被曝出因黑客袭击造成了超过8000名投资者的信息被泄露;8月11日,媒体报道,27岁的杜某利用电脑技术,植入木马病毒,从南京一家网络金融公司的财务账户,转走了10多万元。从全球范围内来看,反病毒机构卡巴斯基实验室2月16号就已经发布报告称,网络黑客至少从全球银行窃走了10亿美元,最厉害的能让ATM机自动吐钱。
【黑来袭,中国的互联网金融企业如何应对】
广东壹宝资产管理有限公司副总经理徐晓锋告诉记者,黑客攻击的目的主要有两种,一种是广撒网,大范围的寻找“肉鸡”,向尽可能多的服务器发出尝试性攻击和渗透请求,随机选择性较强。他表示,壹宝贷平台的云盾防火墙,每天都会监测到这种类型的非法请求。另一种是黑客出于”黑产”链条,具有商业目的,为了窃取数据等动机,对某些平台发动针对性攻击,但这种类型的攻击相对比较少见。
从第三方技术安全公司来看。绿盟科技深圳互联网金融安全研究负责人赖东方表示,互联网金融公司的漏洞现在浮现出来的只是冰山一角,“只要是我们检测过的,都会有大大小小的漏洞。”在这些漏洞中,从2014到2015年来看,跟业务和权限管理相关漏洞占了比较大的比重,且重复漏洞较多。
爱加密CEO高磊则认为,手机支付的客户体验与安全性成反比,因为追求支付的简单易操作化,现在手机支付的安全性不断下降,他估计相关技术漏洞所造成的损失高达每年数百亿。
【不正当竞争显现:漏洞成同业竞争工具】
随着2014年互联网金融行业的爆发式增长,行业的发展让类似p2p借贷系统开发公司这样提供技术支持的配套服务公司也迅猛生长。但这些提供系统的开发平台本身是否也存在漏洞,让人存疑。
2014年,晓风安全网贷系统漏洞事件就为广大的互联网金融公司敲响了警钟。2014年5月,国内某互联网安全问题反馈平台曝出P2P平台“共信赢”系统存在严重安全漏洞,称“某P2P网贷系统涉及金钱交易数千万”。
后经调查证实,该P2P网贷系统就是晓风安全网贷系统,并爆出共有114家企业使用该系统。最终多家该系统的使用者暂停了面向客户提现、充值等功能。
虽然晓风安全网贷在其官网发布正式声明称,所谓“系统漏洞”真相是某竞争对手操控网络黑公关,故意拿早被修复的旧版本问题做文章,藉以抹黑对手提高自己。但一位不愿具名的p2p业内人士表示,他并不这么认为。他表示,晓风安全网贷就是辟谣,也没有办法自圆其说。
因为此类公司都是将服务打包销售,所以购买了旧版本的用户,也需要付费才能升级。即使是晓风安全网贷升级前的数据泄露了,对在其平台上托管了系统的网贷公司而言也是有风险的。
在记者的采访中,一位技术安全人士匿名指出,P2P网贷上下游行业各种安全漏洞,暗雷遍布,已是行业普遍现象,也有同行之间拿漏洞做文章。
该匿名人士指出,这一现象的原因可能是贷齐乐太过高调惹到同行,遭到黑客报复,结果被公布严重漏洞。匿名人士认为,不管是不是同行倾轧,产业链内的公司多多少少有漏洞是无可置疑的,如果太过张扬就会被公布。
融金宝CEO陈喜坚表示,现在大部分p2p公司的网站都是托管在云服务器上,加之p2p行业流动性很强,如果A平台的某位技术人员到B平台任职,在托管服务器一致的前提下,不一样的只是用户名和密码,如果该技术人员由于某些原因要黑掉前公司,不存在太大的难度。
他同时表示,对于自建机房和服务器的平台而言,有些外部攻击,比如超过上限的流量攻击,即使平台没有技术漏洞,此种类型攻击依然能让平台遭受潜在损失。比如某些目的方可能会利用这一点,堵塞你的通道,虽然这一行为不会造成客户数据的丢失,但可以降低用户体验,最终达到让用户流失的目的。
【技术漏洞严重被忽视】
业内人士指出,IT技术一直是P2P行业的短板,一旦存在安全漏洞,非常容易引来黑客、病毒等网络入侵。但技术漏洞对于互联网金融企业依然是,一直在那里,从未被解决。
当下,互联网金融行业的热点议题是征信、存管、上市等,但如何从根本上加强技术力量建设,保护投资人的信息及资金安全却鲜有讨论。
对于出现这种现象的原因,赖东方认为,一方面是互联网公司对技术安全认识不够,有些小公司遭受了攻击,却浑然不觉。而且有些老板并不是技术出身,对于相关安全问题完全不了解。另一方面,他认为在深圳依然十分缺乏互联网安全技术人才。
徐晓锋认为,很多平台搭建初期为了业务并没有考虑更多,导致安全意识不够。加上技术人员的疏忽,并没有认真检查代码细节,给黑客钻了空子。
但这种观点,陈喜坚却并不认可。他认为,互联网金融公司没有投入足够的耐心做技术,主要原因还是资金问题。他表示,互联网金融现在被不了解实际运营细节的人认为是门槛很低的行业,几万块就可以建站上线。但如果把技术安全建设纳入到成本考量的话,该行业的准入门槛将会大大提高。他认为,随着未来行业发展的成熟度提高,将会有因为技术安全问题而导致平台倒闭的事情发生。
高磊认为,这几年是互联网金融业务为王的时代,各大互联网金融公司着力于提升用户量和资金量,作为最基层的技术安全问题被理所当然的忽视了。他认为这存在一个成长周期,近几年相关技术问题层出不穷,但从这一两年开始重视。未来,互联网金融公司的技术安全力量会越来越完善。
【业内:苦练“内功”加强技术安全是根本】
虽然法律法规已经足够完善,但互联网金融公司仍需加强内功,防范安全风险。
这一点上,陈喜坚认为随着大数据和征信业务的发展,云服务器将无法承载相关业务要求。他表示,对于大规模的互联网金融公司而言,一定会自建机房;对于小型的互联网金融公司而言,将会从不太安全的云服务器转移到较为安全的机房。
高磊持同样观点。他认为,规模较大的互联网金融企业,将会自建,虽然投入巨大。但小型互联网金融公司将会继续依赖专业的第三方技术安全团队。
赖东方认为,现今的互联网金融安全行业已经开始起步了,未来三到五年会越来越好。但这两年,技术安全方面,互联网金融公司将还是依赖第三方公司。
徐晓锋认为互联网金融公司一定要建设立体的安全体系。他认为单纯追求高规格机房并不能阻止所有的攻击。需要从制度方面规范,避免技术员犯错;提高硬件水平,防范流量攻击;增强软件建设,提高web安全,防止非常规上传等程序性漏洞;最后便是做好数据库安全的防范,建立多个机房动态切换机制,当机房起火、服务器故障、电缆断裂的非常规情况发生,可以有效应对。
【律师:处理互联网金融犯罪有完备的法律依据】
“互联网金融犯罪不过是传统金融犯罪加了一层高科技的外衣而已。”大成律师事务所律师滕元庆认为,互联网金融犯罪利用了高科技,但犯罪的构成要件,并没有发生实质性的改变。在他看来,现有的法律体系已经比较完备,足以应对现在的行业发展,不需要为互联网金融行业特设相关法律法规。
如果投资人的信息被黑客窃取并导致了损失。他表示,这适用于民法的过错承担原则:谁的责任谁来承担。如果设置虚假标,可以考虑认定诈骗;如果自设资金池,可以认定为非法集资。在相关法律法规早已对这些行为作出了规定的情况下,为何互联网金融平台出现的违规跑路、信息被盗的事件,警察的处理却显得滞后。他认为这是法律与实务的脱节造成的。在新型犯罪手段下,警察很难认定行为是罪还是非罪。
所以他建议,需要充分发挥律师的力量。从执法机关的角度,可以召集律师组成智库,将相关互联网金融案件隐去姓名后,由律师出具专业法律意见,帮助警方判断;投资人方面,可以在考察互联网金融公司时,将该公司是否有顾问律师作为考察对象;对于P2P公司而言,需要聘请律师或与律所合作,监控流程,避免相关风险。