“剛剛上線一個(gè)月，我們就被黑客盯上了?！毙屡dP2P網(wǎng)貸平臺(tái)普惠無(wú)憂CEO曾云鋒說(shuō)。近日，黑客采取惡意訪問(wèn)等流量攻擊形式，一度導(dǎo)致網(wǎng)站打開(kāi)緩慢，經(jīng)該公司工程師3天的防御才迫使對(duì)方無(wú)功而返。

　　這僅是整個(gè)行業(yè)與黑客博弈的冰山一角。有數(shù)據(jù)顯示，截至去年11月，中國(guó)已有165家P2P平臺(tái)由于黑客攻擊造成系統(tǒng)癱瘓、數(shù)據(jù)被惡意篡改甚至倒閉。

　　網(wǎng)站安全服務(wù)商安全寶CEO馬杰表示，中國(guó)整個(gè)網(wǎng)站安全水平都比較低，互聯(lián)網(wǎng)金融由于自身的價(jià)值很大，風(fēng)險(xiǎn)性相對(duì)顯得突出，特別是初創(chuàng)公司，團(tuán)隊(duì)過(guò)多把精力放在業(yè)務(wù)創(chuàng)新層面，忽略了信息安全的建設(shè)，造成了黑客的可乘之機(jī)。

　　曾云鋒認(rèn)為，許多P2P網(wǎng)貸通常不是自己研發(fā)的系統(tǒng)，而是直接購(gòu)買廉價(jià)的網(wǎng)站模板，幾千、幾萬(wàn)元錢就能買一套，黑客對(duì)于其代碼和漏洞都比較熟悉，很容易成為被攻擊的對(duì)象，而且一家被攻破之后，剩下的就只是時(shí)間的問(wèn)題。

　　據(jù)悉，某知名投資公司曾對(duì)100家P2P網(wǎng)貸平臺(tái)調(diào)研后發(fā)現(xiàn)：90%以上的P2P平臺(tái)都是使用模板網(wǎng)站。到淘寶網(wǎng)搜索“網(wǎng)貸平臺(tái)”或“P2P網(wǎng)貸”，跳出來(lái)的頁(yè)面充斥著從幾百元到幾千元不等的“最新P2P借貸平臺(tái)”、“P2P借貸平臺(tái)源碼”等商品。

　　而根據(jù)曾云鋒介紹，自主研發(fā)平臺(tái)系統(tǒng)的成本較高，約為購(gòu)買模板的20—30倍。

　　在日前舉辦的“金融o互聯(lián)跨界融合2015互聯(lián)網(wǎng)金融干貨分享”沙龍上，人人貸CIO藍(lán)晏翔還曝光了行業(yè)很多低級(jí)安全漏洞?！拔夷靡粋€(gè)筆記本電腦在他公司門口，可能蹲一下公司就能拿到所有數(shù)據(jù)了，因?yàn)樗矝](méi)有做準(zhǔn)入，WIFI密碼永遠(yuǎn)不變，蹲上一段時(shí)間就能夠拿到他們的財(cái)務(wù)等等信息了，其實(shí)這個(gè)事情很簡(jiǎn)單，但是總是會(huì)被忽視?！彼{(lán)晏翔說(shuō)。

　　一個(gè)具有諷刺意味的情況是，網(wǎng)貸平臺(tái)安全上的漏洞還被投資公司用來(lái)做投資前的盡職調(diào)查。據(jù)透露，有投資公司在接觸某網(wǎng)貸平臺(tái)時(shí)，在看到后者的商業(yè)計(jì)劃書之前，就已經(jīng)通過(guò)其服務(wù)器在云端將其核心財(cái)務(wù)數(shù)據(jù)了解過(guò)了。

　　 八成平臺(tái)曾受攻擊

　　“與整體網(wǎng)站相比，互聯(lián)網(wǎng)金融網(wǎng)站的安全水平也不是特別低，但是它自身的金融屬性決定了含有很高的商業(yè)價(jià)值，所以就特別受到黑客關(guān)注?！瘪R杰說(shuō)。

　　曾云鋒告訴記者，有市場(chǎng)研究機(jī)構(gòu)數(shù)據(jù)顯示，高峰時(shí)期，中國(guó)80%以上的平臺(tái)均受到過(guò)不同程度的黑客攻擊，數(shù)十家平臺(tái)因?yàn)楹诳凸舳归]，“黑客攻擊導(dǎo)致網(wǎng)站癱瘓，進(jìn)而引發(fā)用戶恐慌，產(chǎn)生擠兌潮，這對(duì)平臺(tái)而言是非常致命的”。

　　馬杰表示，黑客攻擊P2P網(wǎng)貸平臺(tái)開(kāi)始是直接盜取資金，后來(lái)發(fā)現(xiàn)盜取資金太容易被發(fā)現(xiàn)，就采取更隱藏的方式，盜取數(shù)據(jù)，都是與身份、銀行卡等相關(guān)的核心數(shù)據(jù)，不僅不容易被發(fā)現(xiàn)，即使發(fā)現(xiàn)了也難追查。“黑客攻擊的另一種利益訴求則是勒索，許多知名網(wǎng)貸公司都曾被索要保護(hù)費(fèi)，有些公司為了省事真交了錢?！瘪R杰還說(shuō)，黑客索要1000元案例都曾發(fā)生過(guò)，從金額來(lái)看，對(duì)方不像是職業(yè)黑客，也從側(cè)面反映出行業(yè)安全防御能力有多低。

　　也有部分黑客攻擊行為來(lái)自競(jìng)爭(zhēng)對(duì)手，發(fā)生在人人貸身上的幾次黑客攻擊事件就有證據(jù)表明是來(lái)自競(jìng)爭(zhēng)對(duì)手的惡意攻擊?！昂诳吞岢隼嬖V求也是需要條件的，就是攻擊效果出來(lái)了，比如你網(wǎng)站癱瘓了的時(shí)候。我們平臺(tái)連續(xù)被攻擊了3天，始終沒(méi)被攻破，黑客攻擊也是需要成本的，不能一直這么耗著，黑客這才離開(kāi)，也就沒(méi)有提出利益訴求?！痹其h透露。

　　安全機(jī)制和意識(shí)是關(guān)鍵

　　經(jīng)歷此次黑客攻擊事件之后，曾云鋒還總結(jié)了應(yīng)對(duì)黑客攻擊的防范措施公布在官網(wǎng)供行業(yè)借鑒，包括在有能力情況下購(gòu)置主流硬件防火墻、構(gòu)建分布式系統(tǒng)以及購(gòu)買第三方的CDN服務(wù)、流量清洗服務(wù)等安全服務(wù)?！俺讼到y(tǒng)建設(shè)，還要建立完善的安全機(jī)制，信息權(quán)限分級(jí)、數(shù)據(jù)實(shí)時(shí)備份、系統(tǒng)24小時(shí)預(yù)警等，包括相應(yīng)的安全人員配備?！痹其h說(shuō)，部分創(chuàng)業(yè)公司甚至不知道安全工程師是做什么的，信息安全崗位的缺失直接反映了其信息安全的漏洞。

　　不過(guò)，曾云鋒強(qiáng)調(diào)說(shuō)，“沒(méi)有100%的安全，我們做了這么多安全措施，也只是拖延黑客攻破的時(shí)間。但這就已經(jīng)足夠了，在這些安全措施換取到的寶貴時(shí)間里，我們可以抓緊研究后續(xù)的應(yīng)急措施?！?

　　藍(lán)晏翔認(rèn)為，應(yīng)對(duì)信息安全威脅，P2P網(wǎng)貸平臺(tái)除了要加強(qiáng)系統(tǒng)建設(shè)和流程建設(shè)，還需要員工提高安全意識(shí)，養(yǎng)成良好習(xí)慣。

　　馬杰也比較看重安全意識(shí)在信息安全中的重要地位，“最有效的安全都是不用花錢的，安全最重要的原則是你要有安全意識(shí)，最推薦的安全手段是做數(shù)據(jù)備份，這兩條都是不用花錢的，但是很多平臺(tái)，只有經(jīng)歷了血淋淋的教訓(xùn)，才會(huì)意識(shí)到這個(gè)問(wèn)題”。