0">

本文共有 字，预计阅读时间为 。

临近年底，金融机构进入还贷、套现高峰期，不法黑客趁机将目标瞄准中小型P2P平台，打着“不讲价钱就敲诈你”的旗号，发起一波又一波的恶意攻击。投资者一旦发现P2P平台被黑，网站无法正常登录，会引起恐慌，对平台将是致命打击，甚至可能导致资金链断裂、平台倒闭、甚至跑路。

那么，P2P平台系统的网络安全该如何把控？零一财经研究总监李耀东的回答让人担忧：“P2P平台并没有安全等级要求，一些自律组织采用的是信息安全标准，至于平台如何保障用户信息安全，主要还是看平台自身意识。”

保护成本高于赎金金额

11月30日，好街好贷P2P平台连续第五天遭遇黑客DDoS流​​量攻击，无奈之下，好街好贷在官网发布网站维护公告。

时间回到11月26日上午，好街好贷的客服突然收到黑客的QQ信息：“我们要封你们网站，你让你们老板联系我。”客服还没来得及反应，平台网站已经打不开了。黑客的要求很简单：交5000元钱才能停止封站。没有讨价还价，不交钱也没关系，大家就等着。

对于黑客为何只索要5000元，好街好贷负责人周留根向《IT时报》表示：“正常情况下，赎金金额低于6000元就无法立案，而对方就是利用了这个漏洞。”

本来好街好贷是有针对DDoS流​​量攻击的防御机制的，服务商就是大名鼎鼎的阿里云，但攻击发生后，阿里云通知好街好贷平台IP的攻击流量已经超出了云盾DDoS攻击基础防护的带宽峰值，所有服务器访问均被阻断，建议平台购买DDoS高防服务，以保障服务器正常运行。

“阿里云高防服务保障的峰值攻击带宽是20G，价格是每月3000多元，比黑客索要的赎金数额还高，阿里云收费太高，小平台要精打细算。”周留根无奈地说。

中小型平台支付赎金并保持沉默

陷入困境的不仅仅是贷款公司，对于所有中小型P2P平台来说，防范黑客的DDoS攻击都是一笔巨大的开支。今年7月，双钱支付遭到不明黑客攻击，为了捍卫平台尊严，双钱支付选择使用云盾DDoS防护服务，但仅3个小时就损失了16万元。

由于网络安全防护的成本远高于黑客索要的金额，很多资金实力较弱的中小平台往往会选择支付对方索要的勒索金额以求得隐瞒。不法黑客也利用中小P2P平台不愿花大价钱、又不愿公开的特点，频繁发动攻击。周留根透露，就在好街好贷被攻击后，黑客团伙又转而攻击一家名为小富财经的P2P平台。

为了应对黑客攻击，好街好贷新增了四台服务器，同时激活了三个IP地址，网站才恢复正常。周留根告诉记者：“虽然黑客的10G流量攻击被挡了下来，但采用增加防火墙来抵御攻击的方式耗时太长，平台的损失远不止5000元。”也是因为这次攻击，平台决定放弃第三方系统，投入资金升级新系统。

平台建设投入普遍不足

“目前，大部分中小型P2P平台只能抵御小规模入侵，几乎无法抵御10G以上的DDoS入侵。”交通银行上海分行信息技术部总经理吴宇对《IT时报》记者表示。吴宇算过，购买1G带宽，每年的成本约30万元。如果平台遭遇30G的攻击，再购买带宽抵御，每年的投入将达到900万元。对于中小型平台来说，这样的技术投入几乎是不可能的。

此外，黑客攻击不仅会造成系统瘫痪，还会恶意修改数据、抢劫。吴宇告诉记者：“黑客通过申请账户、篡改数据，甚至冒充投资者恶意提现甚至盗取资金。”

“在遭遇攻击时，95%以上的P2P平台对客户信息安全没有采取任何措施，中小型P2P平台的资金基本都用于营销，生存是它们的首要任务，在技术人员培训、系统开发维护等方面的投入明显不足。”双钱支付运营总监丛利波说。

一位P2P平台负责人告诉《IT时报》记者，平台每年在机房的投入大概在10万元左右。但据吴宇介绍，目前中小型互联网公司的IT基础设施投入应该在100万至300万元之间，大型平台的投入则在1000万元左右。

由于无法获取源代码，一些平台几乎处于“赤裸裸”的状态

据《IT时报》记者了解，一套网贷平台系统搭建成本从几千元到几百万不等，目前中小型P2P平台大多采用十几万元左右的系统，如果多家P2P平台采用同一家服务商开发的软件系统，黑客很有可能利用同一个漏洞对多家平台进行攻击。

“大部分中小互联网金融公司采购系统的价格在6万至20万元之间，但系统都在别人手里，没有源代码，这并不是什么好事。”周留根说。

12月1日，记者分别收到P2P系统服务商荣都科技股份有限公司和小风安全网贷系统的报价。荣都科技的网贷云标准版和专业版售价分别为12.8万元和16.8万元，如果平台需要资金托管系统，则需额外支付3万元。两款系统均不提供开源代码，带开源代码的定制版售价50万元起。小风网贷标准版、增强版、旗舰版售价分别为16.8万元、18.8万元、20.8万元，如果平台需要PC开源授权，则需额外支付12万元。

由于购买源代码需要额外投入资金，很多中小互联网公司只购买系统，加之自身技术能力较弱，也将技术外包，主动性不强，几乎是“裸奔”。

“P2P平台拥有大量的用户信息，其业务流程中也包含大量与资金直接接触的环节，黑客可以利用系统漏洞获取管理员账户权限，窃取用户资金。如果多个平台使用同一个服务商系统，就存在利用同一个漏洞攻击多个平台的可能。”网贷之家CEO史鹏峰对《IT时报》记者表示。

零一财经研究总监李耀东也对记者表示：“P2P平台系统安全性普遍较差，是受到黑客密切关注的重要原因，降低风险的唯一途径就是加大投入。”去年，小风网贷就被曝出因系统漏洞遭黑客攻击，数百家P2P平台受害，20多家平台因此破产。

使用盗版软件导致平台信息泄露

除了系统自身的漏洞之外，互联网金融公司低价购买的盗版软件系统也容易被黑客攻破，造成平台数据丢失、用户信息泄露。

“很多系统服务商的软件都是盗版的，在网上低价销售，一些网贷平台为了贪便宜就买这些盗版系统，但盗版者没有能力对软件进行维护，一旦系统出现漏洞防护或者技术维护的问题，后果不堪设想，平台数据、用户信息都会被泄露。”丛立波说。

被盗数据短期内不会在网上公布，但会被多次转移，多半是流向网贷平台等金融投资行业。难怪有些P2P平台客户总抱怨被贵金属、网贷平台、保险行业的推销电话骚扰。

至于中小型P2P平台的系统安全性能，我们可以将其与银行自建的P2P平台进行对比。吴宇告诉《IT时报》记者：“银行一般采用集群架构搭建借贷平台，以降低成本，但网络架构必须非常注重抗攻击能力的建设，安全系数比一般互联网公司要高。”

吴宇曾在一个行业论坛上透露，2014年下半年，银监会对国内银行业进行了一次安全扫描，发现20多万个高危检测，多次发生攻击事件。如果银行业尚且如此，可想而知，没有信息安全标准，靠自律保护用户信息的P2P平台有多么安全。

0">

以上资料将严格保密，报名结果以官方通知为准。

非常感谢您的报名，请扫描下方二维码进入沙龙分享群。

非常感谢您注册。请点击以下链接保存课件。

点击下载金融科技大讲堂课件

0">[]