P2P平臺遭遇“黑客劫” 暴露技術(shù)軟肋

來源:站長新聞AiWeTalk的空間 2014-08-13

　　P2P（Peer To Peer）平臺風(fēng)生水起的同時，關(guān)注它們的不僅是投資者，還有一群神秘的黑客。網(wǎng)絡(luò)黑客通過攻擊P2P網(wǎng)站致平臺崩潰然后再索要錢財，不少P2P平臺因害怕攻擊產(chǎn)生業(yè)務(wù)損失而花錢了事，甚至有P2P平臺因黑客襲擊而倒閉。為何P2P平臺成了黑客的“搖錢樹”？而P2P平臺又為何如此容易受到攻擊？這些平臺該怎樣應(yīng)對？
　　多家P2P平臺因黑客倒閉
　　P2P網(wǎng)貸平臺從去年開始大規(guī)模地進入市場，在高速發(fā)展的同時，倒閉跑路、投資者信息安全等一系列威脅層出不窮。一大波黑客盯上了P2P平臺這塊“肥肉”，也想趁機分而食之。深圳P2P平臺金海貸日前發(fā)布公告稱，因為遭遇黑客攻擊，網(wǎng)站不能正常運營。同時還有不少P2P平臺遭受了類似的攻擊。
　　而在7月7日，新聯(lián)在線發(fā)布關(guān)于遭受黑客占用寬帶攻擊的公告。公告稱，7日中午，新聯(lián)在線客服收到黑客敲詐信息，隨后網(wǎng)站出現(xiàn)不穩(wěn)定現(xiàn)象。同時，公告表示此次黑客攻擊只是以占用寬帶的方式導(dǎo)致平臺系統(tǒng)暫時癱瘓，并不會造成任何投資者信息的泄露和財產(chǎn)的損失。
　　北京商報記者注意到，幾乎多數(shù)P2P平臺都遭受過黑客的攻擊，只不過不少攻擊并沒有曝光�！拔覀兤脚_幾乎每天都遭受到黑客攻擊，只不過沒有被攻破�！币晃槐本┑貐^(qū)的P2P平臺相關(guān)負責(zé)人直言。
　　此前，人人貸、拍拍貸、翼龍貸、有利網(wǎng)、網(wǎng)貸之家等多家P2P行業(yè)相關(guān)公司都被黑客攻擊過。記者發(fā)現(xiàn)被攻擊的時間一般是在P2P平臺獲得融資或者利好消息曝出之后，如人人貸年初剛剛對外發(fā)布獲得1.3億美元的投資，時隔不到兩小時其官微就發(fā)布了被黑客攻擊的告示。
　　除此之外，還有不少平臺集中被黑，去年末廣東地區(qū)多家P2P平臺網(wǎng)站集中被黑。而另據(jù)公開資料顯示，截至2013年末，有70家P2P平臺因遭遇黑客襲擊而關(guān)門。但在不少業(yè)內(nèi)人士看來，這些“不堪一擊”的P2P平臺其實存在很大的風(fēng)險漏洞以及技術(shù)短板。
　　P2P平臺緣何成“肥肉”
　　互聯(lián)網(wǎng)金融網(wǎng)站眾多，為何近段時間P2P平臺密集受到黑客的青睞？獵豹移動安全專家李鐵軍認(rèn)為，P2P平臺從去年開始瘋狂出現(xiàn)，像當(dāng)年大熱的團購網(wǎng)站、電商平臺一樣，而且P2P平臺做的是投資理財?shù)纳�意，“唯利是圖”的黑客自然不會放過賺錢的機會。
　　有業(yè)內(nèi)人士分析稱，P2P網(wǎng)貸平臺本質(zhì)上是融資平臺，上面沉淀著龐大的客戶數(shù)據(jù)和資金交易額，對于黑客來說，這是巨大的誘餌。
　　除了P2P平臺高速發(fā)展外，不少P2P平臺IT系統(tǒng)簡單、漏洞多也成為被黑客輕易攻擊的主要原因。人人聚財CEO許建文在接受北京商報記者采訪時表示，現(xiàn)在不少P2P平臺的IT系統(tǒng)并非自己開發(fā)，而是通過網(wǎng)絡(luò)渠道購買了一張“皮”（模板），黑客不用一家一家研究系統(tǒng)漏洞，只要研究模板漏洞，然后集中發(fā)起攻擊，就能“黑”掉一片P2P網(wǎng)站。
　　“自己研發(fā)的系統(tǒng)需要專業(yè)的人才，還需要耗費更大的人力、物力、精力，運營團隊一般需要10人以上，而一張模板只需要2-3個人就能進行運營，而且價位可能就是幾百元；而從黑客的層面來講開發(fā)攻擊代碼也需要核算成本收益，所以他們比較喜歡攻擊使用模板的平臺�！痹S建文補充道。
　　銀客網(wǎng)執(zhí)行副總裁張?zhí)鞓芬舱J(rèn)為，P2P平臺運營初期為了減少運營成本，購入公共模板進行日常運營，這為黑客提供了攻擊的便利。
　　其實，黑客攻擊的原因很簡單，一種就是收取“保護費”；另一種則是盜取客戶的信息；而比較“黑暗”的一種則是商業(yè)競爭。
　　收取保護費則是比較常見的一種方式，一位P2P行業(yè)從業(yè)人員告訴記者，一些黑客在攻擊網(wǎng)站之前就開始了敲詐勒索，他們通過電話、QQ等方式，而另一些則是在攻擊過程中要錢，并以連續(xù)攻擊作為威脅。敲詐的金額在幾百元至幾百萬元不等。
　　許建文直言，很多黑客都是“看人下菜碟”，根據(jù)平臺的規(guī)模要錢，而有一些則是根據(jù)自己的攻擊成本收錢。
　　黑客的三種攻擊方式
　　不少P2P平臺在經(jīng)歷了攻擊之后，也開始研究攻擊方式以應(yīng)對攻擊。北京商報記者通過采訪多位業(yè)內(nèi)人士了解到，黑客攻擊P2P平臺的方式主要有三種。李鐵軍解釋道，最常見的一種就是DDOS（Distributed Denial of Service）攻擊，簡言之就是通過網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊，通過向服務(wù)器提交大量請求，使服務(wù)器超負荷崩潰。
　　“還有一種則是CC流量攻擊，比如同一時間頻繁地訪問接口，導(dǎo)致服務(wù)器暫時性、間歇性中斷，比如網(wǎng)站每天的流量是10萬人訪問，但是忽然變成100萬人，此時就會崩潰，可以采用流量轉(zhuǎn)讓、過濾非正常IP的方式進行保護。”張?zhí)鞓方忉尩馈?br />　　張?zhí)鞓费a充道，還有一種就是對漏洞進行攻擊，這就涉及網(wǎng)貸公司的網(wǎng)站都是模板式的，那么黑客可以根據(jù)同樣的漏洞延伸到更多的企業(yè)進行攻擊。
　　據(jù)了解，黑客在攻擊的時候，一般會調(diào)集全球各地的服務(wù)器，來攻擊某一家或者幾家網(wǎng)站�！岸鄶�(shù)只是造成網(wǎng)站擁堵難以登錄，一般難以攻擊到后臺，如果攻擊到后果則不堪設(shè)想�！痹S建文直言。
　　P2P平臺的技術(shù)軟肋
　　但是不少市場人士疑惑道，為何那些被勒索敲詐的平臺不通過報警或者法律途徑解決，而選擇花錢了事呢？李鐵軍直言，一方面黑客“來無影去無蹤”，很多IP信息都是虛假的，難以查出行蹤；另一方面，通過公安等渠道需要的時間也比較長。
　　而張?zhí)鞓分毖裕�其實這種行為可以理解，不少平臺本身的IT系統(tǒng)不夠安全，如果不花錢了事，可能會讓投資者認(rèn)為平臺不安全從而轉(zhuǎn)投其他平臺，用戶體驗非常差。
　　在如何應(yīng)對黑客襲擊的問題上，網(wǎng)貸天眼CEO田維贏認(rèn)為，整體應(yīng)該從服務(wù)器控制和安全檢測兩方面入手。在服務(wù)器控制上，要增強防火墻、流量清洗等技術(shù)；在安全檢測上，重點是入侵檢測或滲透檢測，做好被攻擊時的響應(yīng)策略等，同時進行定理地安全掃描，對服務(wù)器及其他網(wǎng)絡(luò)設(shè)備的安全漏洞，快速發(fā)現(xiàn)并修復(fù)。
　　“P2P平臺應(yīng)該做雙重保護，一方面最好自己設(shè)計系統(tǒng)，進行數(shù)據(jù)規(guī)范和備份維護，比如我們在華北和華南有兩個機房，如果華北出現(xiàn)問題把客戶的數(shù)據(jù)、資金信息備份到華南，可以有效地保證資金的安全，另一方面則可以跟專業(yè)的流量防護公司合作，共同設(shè)計程序來防止惡意攻擊�！睆�?zhí)鞓方ㄗh。
　　許建文則認(rèn)為，首先平臺應(yīng)該增加服務(wù)器的分散，把自己的服務(wù)器分布在全國各地，其次不要輕易向黑客屈服，吸取教訓(xùn)，更重要的則是加強人員的配套建設(shè)。有消息稱，月底央行可能會出臺關(guān)于互聯(lián)網(wǎng)金融的框架性文件，未來在高管任職、IT系統(tǒng)建設(shè)上面應(yīng)該都會有相應(yīng)的規(guī)范。
　　此外田維贏還認(rèn)為， P2P的發(fā)展改變著人們的理財方式，也誘惑著一些不良分子，所以P2P除了要在業(yè)務(wù)擴張上花費大力氣，還應(yīng)該在技術(shù)上下功夫。

　　文章編輯: AiWeTalk網(wǎng)頁客服(yunzongxian.cn)

我的評論

登錄賬號：

密碼：

快速注冊 | 找回密碼