P2P平臺(tái)遭遇“黑客劫” 暴露技術(shù)軟肋

來(lái)源:站長(zhǎng)新聞AiWeTalk的空間 2014-08-13

　　P2P（Peer To Peer）平臺(tái)風(fēng)生水起的同時(shí)，關(guān)注它們的不僅是投資者，還有一群神秘的黑客。網(wǎng)絡(luò)黑客通過(guò)攻擊P2P網(wǎng)站致平臺(tái)崩潰然后再索要錢(qián)財(cái)，不少P2P平臺(tái)因害怕攻擊產(chǎn)生業(yè)務(wù)損失而花錢(qián)了事，甚至有P2P平臺(tái)因黑客襲擊而倒閉。為何P2P平臺(tái)成了黑客的“搖錢(qián)樹(shù)”？而P2P平臺(tái)又為何如此容易受到攻擊？這些平臺(tái)該怎樣應(yīng)對(duì)？
　　多家P2P平臺(tái)因黑客倒閉
　　P2P網(wǎng)貸平臺(tái)從去年開(kāi)始大規(guī)模地進(jìn)入市場(chǎng)，在高速發(fā)展的同時(shí)，倒閉跑路、投資者信息安全等一系列威脅層出不窮。一大波黑客盯上了P2P平臺(tái)這塊“肥肉”，也想趁機(jī)分而食之。深圳P2P平臺(tái)金海貸日前發(fā)布公告稱(chēng)，因?yàn)樵庥龊诳凸�擊，網(wǎng)站不能正常運(yùn)營(yíng)。同時(shí)還有不少P2P平臺(tái)遭受了類(lèi)似的攻擊。
　　而在7月7日，新聯(lián)在線(xiàn)發(fā)布關(guān)于遭受黑客占用寬帶攻擊的公告。公告稱(chēng)，7日中午，新聯(lián)在線(xiàn)客服收到黑客敲詐信息，隨后網(wǎng)站出現(xiàn)不穩(wěn)定現(xiàn)象。同時(shí)，公告表示此次黑客攻擊只是以占用寬帶的方式導(dǎo)致平臺(tái)系統(tǒng)暫時(shí)癱瘓，并不會(huì)造成任何投資者信息的泄露和財(cái)產(chǎn)的損失。
　　北京商報(bào)記者注意到，幾乎多數(shù)P2P平臺(tái)都遭受過(guò)黑客的攻擊，只不過(guò)不少攻擊并沒(méi)有曝光�！拔覀兤脚_(tái)幾乎每天都遭受到黑客攻擊，只不過(guò)沒(méi)有被攻破。”一位北京地區(qū)的P2P平臺(tái)相關(guān)負(fù)責(zé)人直言。
　　此前，人人貸、拍拍貸、翼龍貸、有利網(wǎng)、網(wǎng)貸之家等多家P2P行業(yè)相關(guān)公司都被黑客攻擊過(guò)。記者發(fā)現(xiàn)被攻擊的時(shí)間一般是在P2P平臺(tái)獲得融資或者利好消息曝出之后，如人人貸年初剛剛對(duì)外發(fā)布獲得1.3億美元的投資，時(shí)隔不到兩小時(shí)其官微就發(fā)布了被黑客攻擊的告示。
　　除此之外，還有不少平臺(tái)集中被黑，去年末廣東地區(qū)多家P2P平臺(tái)網(wǎng)站集中被黑。而另?yè)?jù)公開(kāi)資料顯示，截至2013年末，有70家P2P平臺(tái)因遭遇黑客襲擊而關(guān)門(mén)。但在不少業(yè)內(nèi)人士看來(lái)，這些“不堪一擊”的P2P平臺(tái)其實(shí)存在很大的風(fēng)險(xiǎn)漏洞以及技術(shù)短板。
　　P2P平臺(tái)緣何成“肥肉”
　　互聯(lián)網(wǎng)金融網(wǎng)站眾多，為何近段時(shí)間P2P平臺(tái)密集受到黑客的青睞？獵豹移動(dòng)安全專(zhuān)家李鐵軍認(rèn)為，P2P平臺(tái)從去年開(kāi)始瘋狂出現(xiàn)，像當(dāng)年大熱的團(tuán)購(gòu)網(wǎng)站、電商平臺(tái)一樣，而且P2P平臺(tái)做的是投資理財(cái)?shù)纳�意，“唯利是圖”的黑客自然不會(huì)放過(guò)賺錢(qián)的機(jī)會(huì)。
　　有業(yè)內(nèi)人士分析稱(chēng)，P2P網(wǎng)貸平臺(tái)本質(zhì)上是融資平臺(tái)，上面沉淀著龐大的客戶(hù)數(shù)據(jù)和資金交易額，對(duì)于黑客來(lái)說(shuō)，這是巨大的誘餌。
　　除了P2P平臺(tái)高速發(fā)展外，不少P2P平臺(tái)IT系統(tǒng)簡(jiǎn)單、漏洞多也成為被黑客輕易攻擊的主要原因。人人聚財(cái)CEO許建文在接受北京商報(bào)記者采訪(fǎng)時(shí)表示，現(xiàn)在不少P2P平臺(tái)的IT系統(tǒng)并非自己開(kāi)發(fā)，而是通過(guò)網(wǎng)絡(luò)渠道購(gòu)買(mǎi)了一張“皮”（模板），黑客不用一家一家研究系統(tǒng)漏洞，只要研究模板漏洞，然后集中發(fā)起攻擊，就能“黑”掉一片P2P網(wǎng)站。
　　“自己研發(fā)的系統(tǒng)需要專(zhuān)業(yè)的人才，還需要耗費(fèi)更大的人力、物力、精力，運(yùn)營(yíng)團(tuán)隊(duì)一般需要10人以上，而一張模板只需要2-3個(gè)人就能進(jìn)行運(yùn)營(yíng)，而且價(jià)位可能就是幾百元；而從黑客的層面來(lái)講開(kāi)發(fā)攻擊代碼也需要核算成本收益，所以他們比較喜歡攻擊使用模板的平臺(tái)�！痹S建文補(bǔ)充道。
　　銀客網(wǎng)執(zhí)行副總裁張?zhí)鞓?lè)也認(rèn)為，P2P平臺(tái)運(yùn)營(yíng)初期為了減少運(yùn)營(yíng)成本，購(gòu)入公共模板進(jìn)行日常運(yùn)營(yíng)，這為黑客提供了攻擊的便利。
　　其實(shí)，黑客攻擊的原因很簡(jiǎn)單，一種就是收取“保護(hù)費(fèi)”；另一種則是盜取客戶(hù)的信息；而比較“黑暗”的一種則是商業(yè)競(jìng)爭(zhēng)。
　　收取保護(hù)費(fèi)則是比較常見(jiàn)的一種方式，一位P2P行業(yè)從業(yè)人員告訴記者，一些黑客在攻擊網(wǎng)站之前就開(kāi)始了敲詐勒索，他們通過(guò)電話(huà)、QQ等方式，而另一些則是在攻擊過(guò)程中要錢(qián)，并以連續(xù)攻擊作為威脅。敲詐的金額在幾百元至幾百萬(wàn)元不等。
　　許建文直言，很多黑客都是“看人下菜碟”，根據(jù)平臺(tái)的規(guī)模要錢(qián)，而有一些則是根據(jù)自己的攻擊成本收錢(qián)。
　　黑客的三種攻擊方式
　　不少P2P平臺(tái)在經(jīng)歷了攻擊之后，也開(kāi)始研究攻擊方式以應(yīng)對(duì)攻擊。北京商報(bào)記者通過(guò)采訪(fǎng)多位業(yè)內(nèi)人士了解到，黑客攻擊P2P平臺(tái)的方式主要有三種。李鐵軍解釋道，最常見(jiàn)的一種就是DDOS（Distributed Denial of Service）攻擊，簡(jiǎn)言之就是通過(guò)網(wǎng)絡(luò)過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊，通過(guò)向服務(wù)器提交大量請(qǐng)求，使服務(wù)器超負(fù)荷崩潰。
　　“還有一種則是CC流量攻擊，比如同一時(shí)間頻繁地訪(fǎng)問(wèn)接口，導(dǎo)致服務(wù)器暫時(shí)性、間歇性中斷，比如網(wǎng)站每天的流量是10萬(wàn)人訪(fǎng)問(wèn)，但是忽然變成100萬(wàn)人，此時(shí)就會(huì)崩潰，可以采用流量轉(zhuǎn)讓、過(guò)濾非正常IP的方式進(jìn)行保護(hù)�！睆�?zhí)鞓?lè)解釋道。
　　張?zhí)鞓?lè)補(bǔ)充道，還有一種就是對(duì)漏洞進(jìn)行攻擊，這就涉及網(wǎng)貸公司的網(wǎng)站都是模板式的，那么黑客可以根據(jù)同樣的漏洞延伸到更多的企業(yè)進(jìn)行攻擊。
　　據(jù)了解，黑客在攻擊的時(shí)候，一般會(huì)調(diào)集全球各地的服務(wù)器，來(lái)攻擊某一家或者幾家網(wǎng)站�！岸鄶�(shù)只是造成網(wǎng)站擁堵難以登錄，一般難以攻擊到后臺(tái)，如果攻擊到后果則不堪設(shè)想�！痹S建文直言。
　　P2P平臺(tái)的技術(shù)軟肋
　　但是不少市場(chǎng)人士疑惑道，為何那些被勒索敲詐的平臺(tái)不通過(guò)報(bào)警或者法律途徑解決，而選擇花錢(qián)了事呢？李鐵軍直言，一方面黑客“來(lái)無(wú)影去無(wú)蹤”，很多IP信息都是虛假的，難以查出行蹤；另一方面，通過(guò)公安等渠道需要的時(shí)間也比較長(zhǎng)。
　　而張?zhí)鞓?lè)直言，其實(shí)這種行為可以理解，不少平臺(tái)本身的IT系統(tǒng)不夠安全，如果不花錢(qián)了事，可能會(huì)讓投資者認(rèn)為平臺(tái)不安全從而轉(zhuǎn)投其他平臺(tái)，用戶(hù)體驗(yàn)非常差。
　　在如何應(yīng)對(duì)黑客襲擊的問(wèn)題上，網(wǎng)貸天眼CEO田維贏認(rèn)為，整體應(yīng)該從服務(wù)器控制和安全檢測(cè)兩方面入手。在服務(wù)器控制上，要增強(qiáng)防火墻、流量清洗等技術(shù)；在安全檢測(cè)上，重點(diǎn)是入侵檢測(cè)或滲透檢測(cè)，做好被攻擊時(shí)的響應(yīng)策略等，同時(shí)進(jìn)行定理地安全掃描，對(duì)服務(wù)器及其他網(wǎng)絡(luò)設(shè)備的安全漏洞，快速發(fā)現(xiàn)并修復(fù)。
　　“P2P平臺(tái)應(yīng)該做雙重保護(hù)，一方面最好自己設(shè)計(jì)系統(tǒng)，進(jìn)行數(shù)據(jù)規(guī)范和備份維護(hù)，比如我們?cè)谌A北和華南有兩個(gè)機(jī)房，如果華北出現(xiàn)問(wèn)題把客戶(hù)的數(shù)據(jù)、資金信息備份到華南，可以有效地保證資金的安全，另一方面則可以跟專(zhuān)業(yè)的流量防護(hù)公司合作，共同設(shè)計(jì)程序來(lái)防止惡意攻擊�！睆�?zhí)鞓?lè)建議。
　　許建文則認(rèn)為，首先平臺(tái)應(yīng)該增加服務(wù)器的分散，把自己的服務(wù)器分布在全國(guó)各地，其次不要輕易向黑客屈服，吸取教訓(xùn)，更重要的則是加強(qiáng)人員的配套建設(shè)。有消息稱(chēng)，月底央行可能會(huì)出臺(tái)關(guān)于互聯(lián)網(wǎng)金融的框架性文件，未來(lái)在高管任職、IT系統(tǒng)建設(shè)上面應(yīng)該都會(huì)有相應(yīng)的規(guī)范。
　　此外田維贏還認(rèn)為， P2P的發(fā)展改變著人們的理財(cái)方式，也誘惑著一些不良分子，所以P2P除了要在業(yè)務(wù)擴(kuò)張上花費(fèi)大力氣，還應(yīng)該在技術(shù)上下功夫。

　　文章編輯: AiWeTalk網(wǎng)頁(yè)客服(reidrightsolutions.com)

我的評(píng)論

登錄賬號(hào)：

密碼：

快速注冊(cè) | 找回密碼