用户电话信息遭泄露 国内P2P平台现漏洞

作者: lanyang   

　　1月19日，国内知名漏洞报告平台乌云曝出某平台一处设置缺陷可以获知平台所有用户手机号，并可结合登陆处验证码绕过，进行暴力破解。该漏洞会被黑客利用，盗取大量用户敏感数据，引起投资者的不稳定情绪而转投其他平台，导致极差的用户体验。

　　此漏洞属于网站本身的设计缺陷，却映射出普遍P2P平台网安环节的薄弱。国内90%的 P2P平台存在技术漏洞，其中更有不少平台的IT运维系统极为简单，漏洞繁多也让黑客抓住可乘之机。这些简单的IT运维系统大多是通过网络渠道购买的模板，虽然这是为了降低运营成本，但是却也为黑客提供了攻击的便利。黑客不用研究平台的系统漏洞，仅仅只要攻破模板漏洞，就能黑掉一片P2P网站。

　　以2014年5月乌云曝光的“P2P系统任意上传漏洞涉及金钱交易”为例，共信赢、益民财富、民蕴财富、信而富、融金贷、英邦投资、浙融创投及乐投融在内的8家网贷平台都因此系统带来了巨大风险。这也就是为什么国内众多知名P2P网贷平台的安全技术人员配置不过三五人，这种“标配”只是为了维护一个满是漏洞的模板而已。

　　国内知名网站安全服务云平台加速乐的负责人张永波曾说过，国内多数P2P平台技术人员匮乏，往往网站本身就存在许多易攻击漏洞给不良分子可乘之机，这类网站一旦面对黑客的强势攻击大多束手无策，最终只能“舍财消灾”。并且网贷网站作为直接与金钱利益挂钩的平台，不管是被黑客攻击还是其他问题导致的客户信息泄露，都会直接影响平台信誉度和投资人的忠诚度。

　　记者连线了国内知名网贷门户安全总监，在采访中，总监认为：“当下P2P平台最应该做的一件事情就是对网站进行双重保护。第一重保护建立自己的网站设计系统，规范数据存储和备份维护;第二重则是选择专业的流量防护公司合作，依托对方专业、有力的防护节点来应对恶意攻击。作为P2P新闻门户，该公司都会遭到不少恶意的DDoS攻击，为此他们和加速乐达成长期的合作，来保护网站安全”。

　　通过记者采访不难看出，P2P的发展已经改变了国人的理财方式，但是网站本身千万不要给不良分子留有可乘之机，所以记者特意提示广大投资人和消费者要特别注意自己的信息保护，同时也以此警示P2P平台除了要在业务扩张上花费大力气，还应该在技术上和外部支援上下功夫。

lanyang