“網(wǎng)貸之家只是一家普通的行業(yè)門戶網(wǎng),現(xiàn)在卻受到如此強(qiáng)烈的惡意攻擊。要是這種事情發(fā)生在投資人信息眾多、交易金額巨大的P2P網(wǎng)貸平臺(tái)身上,后果不堪設(shè)想。這起事件,似乎也敲響了P2P行業(yè)乃至整個(gè)互聯(lián)網(wǎng)金融安全的警鐘。”網(wǎng)貸之家聯(lián)合創(chuàng)始人朱明春指出。
網(wǎng)貸之家遭遇30G猛攻 黑客稱百萬受雇
3月19日,國(guó)內(nèi)最大、最具影響力的P2P網(wǎng)貸行業(yè)門戶網(wǎng)“網(wǎng)貸之家”發(fā)布了一封給廣大用戶的致歉信;次日,網(wǎng)貸之家再次對(duì)外發(fā)出《網(wǎng)貸之家對(duì)遭遇惡意攻擊的聲明》,針對(duì)近期遭受抹黑報(bào)道、受到黑客嚴(yán)重攻擊事件進(jìn)行了澄清。
據(jù)了解,自3月16日以來, “網(wǎng)貸之家” 受到黑客持續(xù)多日的惡意嚴(yán)重攻擊,其中,包括數(shù)萬IP的CC攻擊,持續(xù)十分鐘30G/s的流量攻擊,半天過十億次的連續(xù)攻擊。截至發(fā)稿,此次攻擊已持續(xù)一周有余。
網(wǎng)貸之家的安全服務(wù)商百度加速樂提供的數(shù)據(jù)顯示:本次攻擊為Synflood攻擊和CC攻擊的混合式DDoS攻擊。這是繼去年年底人人貸、好貸網(wǎng)、拍拍貸等受到黑客攻擊后,P2P行業(yè)的另一波黑客攻擊行為。
網(wǎng)貸之家負(fù)責(zé)人坦言,以前也受到過黑客攻擊,但是此次攻擊強(qiáng)度空前、手段多變,導(dǎo)致網(wǎng)站時(shí)常無法正常訪問。據(jù)透露,日前一位自稱是黑客的網(wǎng)友找到網(wǎng)貸之家負(fù)責(zé)人,稱有人花6位數(shù)的重金聘請(qǐng)其發(fā)起此次攻擊,且宣稱如未能達(dá)到預(yù)期效果,攻擊還將繼續(xù)進(jìn)行。該黑客自稱目前藏身于老撾。
值得一提的是,此次事件,也引發(fā)了上海市信息安全行業(yè)協(xié)會(huì)的高度關(guān)注,并迅速聯(lián)系了剛從世界頂級(jí)黑客大賽奪冠歸來的國(guó)內(nèi)頂級(jí)白帽團(tuán)隊(duì)“Keen Team”,介入事件調(diào)查。
那些年,被黑過的P2P平臺(tái)
自去年以來,P2P平臺(tái)正逐漸成為黑客眼中的一塊“肥肉”。
2014年元旦后,P2P行業(yè)越來越受到資本的青睞,業(yè)界陸續(xù)傳來融資捷報(bào)。在1月9日新聞發(fā)布會(huì)當(dāng)天,P2P平臺(tái)大佬人人貸剛剛對(duì)外發(fā)布獲得1.3億美元的投資,然而時(shí)隔不到兩個(gè)小時(shí),其官方微博就發(fā)布了被黑客攻擊的告示。
同一天,拍拍貸、好貸網(wǎng)也遭遇了黑客的惡意流量攻擊。拍拍貸發(fā)布公告稱:“拍拍貸網(wǎng)站于1月9日19時(shí)15分遭到惡意攻擊,為保護(hù)用戶信息和資金安全,我們暫時(shí)停止訪問服務(wù)……”
“去年底有個(gè)‘黑鷹小組’,專黑網(wǎng)貸平臺(tái),還進(jìn)行勒索。”一位業(yè)內(nèi)人士透露道。據(jù)了解,2013年12月,廣東地區(qū)多家P2P平臺(tái),包括e速貸、通融易貸、快速貸、融易貸、融信網(wǎng)等集中被黑。而在當(dāng)年10月,就有一些平臺(tái)因黑客的攻擊導(dǎo)致系統(tǒng)癱瘓,深陷擠兌泥潭,比如內(nèi)蒙古的銀實(shí)貸。
媒體報(bào)道稱,不久前,曾有一位黑客給金海貸平臺(tái)負(fù)責(zé)人發(fā)信息,稱“又要過年了,奶粉錢比較緊張”,要求金海貸封一個(gè)8.8萬元的紅包。
有業(yè)內(nèi)人士表示,事實(shí)上,許多P2P平臺(tái)曾遭遇黑客攻擊。黑客通過申請(qǐng)帳號(hào)、篡改數(shù)據(jù)、冒充投資人進(jìn)行惡意提現(xiàn),“用戶隱私被泄露甚至資金被盜事件也發(fā)生過,只不過這些尚未見諸報(bào)端而已。”
據(jù)知情人士透露,通常黑客會(huì)進(jìn)行“精準(zhǔn)打擊”,即在一個(gè)網(wǎng)貸平臺(tái)處于“薄弱”時(shí)下手。“如果一家平臺(tái)在某個(gè)時(shí)間段有大量資金到期,這時(shí)會(huì)產(chǎn)生許多提現(xiàn)需求。而如果平臺(tái)這個(gè)時(shí)候被黑,投資人一旦恐慌提現(xiàn),加上平臺(tái)是拆標(biāo)的話,資金鏈一斷裂,平臺(tái)就玩完了。”
“去年某P2P平臺(tái),因黑客連續(xù)攻擊幾天,造成投資人恐慌擠兌,到現(xiàn)在還半死不活。”上述知情人士稱,整個(gè)行業(yè)從2013年下半年開始就進(jìn)入被黑客集中攻擊階段,有好幾家平臺(tái)因?yàn)楹诳偷墓舫霈F(xiàn)提現(xiàn)困難和擠兌。
黑客為何鐘情于P2P網(wǎng)貸行業(yè)?
業(yè)內(nèi)人士指出,以P2P為代表的互聯(lián)網(wǎng)金融行業(yè)受到資本市場(chǎng)的關(guān)注,是引起黑客注意的原因之一。此外,由于P2P網(wǎng)貸行業(yè)的類金融屬性,做的是‘錢生錢’的生意,所以從一誕生就被黑客惦記上了。
P2P網(wǎng)貸作為互聯(lián)網(wǎng)金融的率先試水者,這一新型的民間金融模式,既幫助解決了中小企業(yè)融資難、融資貴的問題,也讓資金富余者多了一條投資渠道。一些早期的投資者,也已然盡享這一新興理財(cái)產(chǎn)品所帶來的穩(wěn)定收益。
據(jù)統(tǒng)計(jì),至2013年底,整個(gè)P2P網(wǎng)貸行業(yè)已有超過800家網(wǎng)貸平臺(tái),成交規(guī)模超過1000億元,比2012年增長(zhǎng)5倍,是2011年的20倍。今年,隨著互聯(lián)網(wǎng)金融的進(jìn)一步升溫,或再創(chuàng)新高。
與此同時(shí), 與其他金融機(jī)構(gòu)相比,P2P平臺(tái)的安全技術(shù)力量無疑是一塊短板,很多平臺(tái)漏洞較多。一般來講,百度、騰訊、阿里巴巴等大型互聯(lián)網(wǎng)公司擁有大量服務(wù)器和帶寬用以防御此類攻擊,而相對(duì)弱小的P2P平臺(tái),其抗風(fēng)險(xiǎn)能力則很小。
提高平臺(tái)技術(shù)安全,無疑成為各大P2P平臺(tái)2014年迫在眉睫的任務(wù)。
此外,據(jù)業(yè)內(nèi)人士介紹,遭遇黑客攻擊可能有兩種原因,一是由于競(jìng)爭(zhēng)激烈,入侵行為實(shí)為對(duì)手公司所為,讓不少用戶從被攻擊的平臺(tái)流出,是一種不正當(dāng)競(jìng)爭(zhēng)行為;另一則可能是黑客本身向公司進(jìn)行敲詐勒索。
拿什么拯救你,互聯(lián)網(wǎng)金融安全
有人形容黑客攻擊,猶如懸在互聯(lián)網(wǎng)金融頭上的一把利劍。P2P網(wǎng)貸的迅猛發(fā)展也帶來了行業(yè)風(fēng)險(xiǎn)的高速聚集,特別是安全風(fēng)險(xiǎn)正在成為P2P平臺(tái)的致命威脅。
據(jù)路透社消息,2008年以來,全球共有眾多P2P網(wǎng)貸平臺(tái)宣布破產(chǎn)倒閉,損失超過300億美元。除30多家涉嫌詐騙跑路外,其余皆因黑客攻擊引起系統(tǒng)癱瘓,數(shù)據(jù)被惡意修改洗劫一空,最終導(dǎo)致投資者瘋狂提現(xiàn)被迫關(guān)門。
據(jù)世界反黑客組織透露,今后很長(zhǎng)一段時(shí)間內(nèi),P2P網(wǎng)貸平臺(tái)仍將是全球黑客攻擊的首要目標(biāo)。技術(shù)安全已成為P2P網(wǎng)貸平臺(tái)最致命的風(fēng)險(xiǎn)
那么,為何黑客能夠如此囂張?
“主要是黑客攻擊成本太低,防御成本遠(yuǎn)遠(yuǎn)大于攻擊成本。”知名互聯(lián)網(wǎng)安全服務(wù)商百度加速樂產(chǎn)品經(jīng)理西盟指出,目前黑客攻擊主要有兩種:一是黑客入侵,會(huì)造成敏感數(shù)據(jù)泄露;二是,暴力打擊,會(huì)影響服務(wù),但數(shù)據(jù)不會(huì)泄露。
他表示,對(duì)于前一種攻擊,可以采取比如數(shù)據(jù)庫(kù)與對(duì)外系統(tǒng)的隔離、更嚴(yán)格的權(quán)限限制,以及外加一些防火墻設(shè)備等措施。對(duì)于第二種,需要花錢購(gòu)買足夠大的帶寬、使用防火墻。
據(jù)業(yè)內(nèi)人士介紹,目前多數(shù)中小型互聯(lián)網(wǎng)企業(yè)可以抵御1G到2G的小規(guī)模入侵,但10G以上的入侵,幾乎無力抵抗。
而當(dāng)網(wǎng)站被攻擊時(shí),除了購(gòu)買應(yīng)急性的解決方案以外,只能在日后升級(jí)軟硬件設(shè)備,而這將是巨大的成本開銷。“目前購(gòu)買1G帶寬的費(fèi)用一般是30萬元/年。如果攻擊有30G,自己買帶寬的話,得花900萬元。”
事實(shí)上,黑客的攻擊正讓P2P及相關(guān)的互聯(lián)網(wǎng)金融公司成本驟增。業(yè)內(nèi)人士預(yù)計(jì),2014年在互聯(lián)網(wǎng)安全方面要投入的成本,將比此前至少要翻倍。
另一方面,法律方面的盲點(diǎn)或是互聯(lián)網(wǎng)金融安全的一大短板。
網(wǎng)貸之家首席研究員馬駿表示,目前在互聯(lián)網(wǎng)金融安全方面,具體到P2P行業(yè)尚沒有相關(guān)法律條例,更多的是參照其他互聯(lián)網(wǎng)網(wǎng)站。
此外,西盟也指出,不少網(wǎng)站因受攻擊,都曾報(bào)過警,但基本上都是不了了之。網(wǎng)絡(luò)犯罪比較難取證,難定位,而且目前國(guó)內(nèi)網(wǎng)絡(luò)安全方面,警察水平仍比較欠缺。“去年央行被攻擊,黑客也沒抓到。”
全球最大的比特幣交易平臺(tái)Mt.Gox,由于系統(tǒng)漏洞遭到黑客攻擊,于2月28日宣布破產(chǎn),85萬個(gè)價(jià)值5億美元的比特幣被盜一空,全球超過30萬比特幣投資者損失慘重,血本無歸;淘寶和支付寶也曾被曝存在安全漏洞,黑客可利用該漏洞登錄他人淘寶、支付寶賬號(hào)進(jìn)行操作。