数据漏洞大爆发 技术安全已成互金行业软肋

和讯网讯 “根据世界反黑客组织的最新通报，中国P2P已经成为全世界黑客宰割的羔羊。”早在去年年底，中国人民银行原副行长、国家外管局原局长吴晓灵就对中国P2P技术安全问题如此表态。而据《2014年互联网金融行业安全漏洞分析报告》的不完全统计，截至2014年底，已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空。

多家为互联网金融行业提供技术安全服务的公司对和讯网表示，2014年到2015年，互联网金融行业数据漏洞的曝光数量已经呈现了爆炸式的增长，信息泄露屡见不鲜，钓鱼和劫持等社会工程学攻击严重威胁网民的资金安全。技术问题俨然成为行业的“拦路虎”。

疯狂的黑客

据报道，7月24日早上9时许，一家互联网科技公司向深圳市公安局反信息诈骗咨询专线报案，称客户多笔资金未按时到帐。但公司财务核对，需向客户支付的款项早已汇出。之后，事主发现有8个商户的帐户资料被黑客通过网络入侵篡改成自己的银行账号，该公司财务向8个陌生账号汇去款项共计1600万元。最终在多方努力下，成功拦下了被骗款共计1456万元。

和讯网梳理后发现，像这样的黑客入侵服务器非法窃取相关信息牟利已经不是第一次。

今年4月，名为“芝麻金融”的P2P平台被曝出因黑客袭击造成了超过8000名投资者的信息被泄露；8月11日，媒体报道，27岁的杜某利用电脑技术，植入木马病****，从南京一家网络金融公司的财务账户，转走了10多万元。从全球范围内来看，反病****机构卡巴斯基实验室2月16号就已经发布报告称，网络黑客至少从全球银行窃走了10亿美元，最厉害的能让ATM机自动吐钱。

在黑客面前，中国的互联网金融企业做好准备了吗？

广东壹宝资产管理有限公司副总经理徐晓锋告诉记者，黑客攻击的目的主要有两种，一种是广撒网，大范围的寻找“肉鸡”，向尽可能多的服务器发出尝试性攻击和渗透请求，随机选择性较强。他表示，壹宝贷平台的云盾防火墙，每天都会监测到这种类型的非法请求。另一种是黑客出于”黑产”链条，具有商业目的，为了窃取数据等动机，对某些平台发动针对性攻击，但这种类型的攻击相对比较少见。

从第三方技术安全公司来看。绿盟科技深圳互联网金融安全研究负责人赖东方表示，互联网金融公司的漏洞现在浮现出来的只是冰山一角，“只要是我们检测过的，都会有大大小小的漏洞。”在这些漏洞中，从2014到2015年来看，跟业务和权限管理相关漏洞占了比较大的比重，且重复漏洞较多。

爱加密CEO高磊则认为，手机支付的客户体验与安全性成反比，因为追求支付的简单易操作化，现在手机支付的安全性不断下降，他估计相关技术漏洞所造成的损失高达每年数百亿。

漏洞或成同业竞争工具

随着2014年互联网金融行业的爆发式增长，行业的发展让类似p2p借贷系统开发公司这样提供技术支持的配套服务公司也迅猛生长。但这些提供系统的开发平台本身是否也存在漏洞，让人存疑。

2014年，晓风安全网贷系统漏洞事件就为广大的互联网金融公司敲响了警钟。

2014年5月，国内某互联网安全问题反馈平台曝出P2P平台“共信赢”系统存在严重安全漏洞，称“某P2P网贷系统涉及金钱交易数千万”。

后经调查证实，该P2P网贷系统就是晓风安全网贷系统，并爆出共有114家企业使用该系统。最终多家该系统的使用者暂停了面向客户提现、充值等功能。

虽然晓风安全网贷在其官网发布正式声明称，所谓“系统漏洞”真相是某竞争对手操控网络黑公关，故意拿早被修复的旧版本问题做文章，藉以抹黑对手提高自己。但一位不愿具名的p2p业内人士表示，他并不这么认为。他表示，晓风安全网贷就是辟谣，也没有办法自圆其说。

因为此类公司都是将服务打包销售，所以购买了旧版本的用户，也需要付费才能升级。即使是晓风安全网贷升级前的数据泄露了，对在其平台上托管了系统的网贷公司而言也是有风险的。

在记者的采访中，一位技术安全人士匿名指出，P2P网贷上下游行业各种安全漏洞，暗雷遍布，已是行业普遍现象，也有同行之间拿漏洞做文章。

该匿名人士表示，这些公司之间确实竞争很恶劣。根据该匿名人士的线索，和讯网梳理发现，8月3日，在一篇名为《最安全P2P网贷系统“花落贷齐乐”》的文章中称，贷齐乐以3372票的高票夺得冠军。但仅仅过了4天，有漏洞报告平台便发文《灾难！P2P网贷系统贷齐乐爆严重安全漏洞影响大量平台》，文中声称，白帽子（正面黑客）发现，该系统多处存在SQL注入漏洞，可影响大量P2P网贷网站。并提醒投资人注意资金安全。

该匿名人士指出，这一现象的原因可能是贷齐乐太过高调惹到同行，遭到黑客报复，结果被公布严重漏洞。匿名人士认为，不管是不是同行倾轧，产业链内的公司多多少少有漏洞是无可置疑的，如果太过张扬就会被公布。

行业内的风险不仅仅只是存在于互相揭发对方的漏洞。融金宝CEO陈喜坚表示，现在大部分p2p公司的网站都是托管在云服务器上，加之p2p行业流动性很强，如果A平台的某位技术人员到B平台任职，在托管服务器一致的前提下，不一样的只是用户名和密码，如果该技术人员由于某些原因要黑掉前公司，不存在太大的难度。

他同时表示，对于自建机房和服务器的平台而言，有些外部攻击，比如超过上限的流量攻击，即使平台没有技术漏洞，此种类型攻击依然能让平台遭受潜在损失。比如某些目的方可能会利用这一点，堵塞你的通道，虽然这一行为不会造成客户数据的丢失，但可以降低用户体验，最终达到让用户流失的目的。

技术漏洞严重被忽视

业内人士指出，IT技术一直是P2P行业的短板，一旦存在安全漏洞，非常容易引来黑客、病****等网络入侵。但技术漏洞对于互联网金融企业依然是，一直在那里，从未被解决。

当下，互联网金融行业的热点议题是征信、存管、上市等，但如何从根本上加强技术力量建设，保护投资人的信息及资金安全却鲜有讨论。

对于出现这种现象的原因，赖东方认为，一方面是互联网公司对技术安全认识不够，有些小公司遭受了攻击，却浑然不觉。而且有些老板并不是技术出身，对于相关安全问题完全不了解。另一方面，他认为在深圳依然十分缺乏互联网安全技术人才。

徐晓锋认为，很多平台搭建初期为了业务并没有考虑更多，导致安全意识不够。加上技术人员的疏忽，并没有认真检查代码细节，给黑客钻了空子。

但这种观点，陈喜坚却并不认可。他认为，互联网金融公司没有投入足够的耐心做技术，主要原因还是资金问题。

“成本太高，如果要自己建设的话，不是零碎的钱可以做下来的，而且投入了之后能不能收回来还是一个问题。”陈喜坚向和讯网算了一笔账，融金宝到现在为止仅服务器等硬件投入就已经超过500万，这还不算上技术和安全人员的工资、房租以及水电费。他表示，互联网金融现在被不了解实际运营细节的人认为是门槛很低的行业，几万块就可以建站上线。但如果把技术安全建设纳入到成本考量的话，该行业的准入门槛将会大大提高。他认为，随着未来行业发展的成熟度提高，将会有因为技术安全问题而导致平台倒闭的事情发生。

高磊认为，这几年是互联网金融业务为王的时代，各大互联网金融公司着力于提升用户量和资金量，作为最基层的技术安全问题被理所当然的忽视了。他认为这存在一个成长周期，近几年相关技术问题层出不穷，但从这一两年开始重视。未来，互联网金融公司的技术安全力量会越来越完善。

律师：处理互联网金融犯罪有完备的法律依据

“互联网金融犯罪不过是传统金融犯罪加了一层高科技的外衣而已。”大成律师事务所律师滕元庆认为，互联网金融犯罪利用了高科技，但犯罪的构成要件，并没有发生实质性的改变。在他看来，现有的法律体系已经比较完备，足以应对现在的行业发展，不需要为互联网金融行业特设相关法律法规。

如果投资人的信息被黑客窃取并导致了损失。他表示，这适用于民法的过错承担原则：谁的责任谁来承担。如果设置虚假标，可以考虑认定诈骗；如果自设资金池，可以认定为非法集资。在相关法律法规早已对这些行为作出了规定的情况下，为何互联网金融平台出现的违规跑路、信息被盗的事件，****的处理却显得滞后。他认为这是法律与实务的脱节造成的。在新型犯罪手段下，****很难认定行为是罪还是非罪。

所以他建议，需要充分发挥律师的力量。从执法机关的角度，可以召集律师组成智库，将相关互联网金融案件隐去姓名后，由律师出具专业法律意见，帮助警方判断；投资人方面，可以在考察互联网金融公司时，将该公司是否有顾问律师作为考察对象；对于P2P公司而言，需要聘请律师或与律所合作，监控流程，避免相关风险。

业内：多种方式加强技术安全“内功”

虽然法律法规已经足够完善，但互联网金融公司仍需加强内功，防范安全风险。

这一点上，陈喜坚认为随着大数据和征信业务的发展，云服务器将无法承载相关业务要求。他表示，对于大规模的互联网金融公司而言，一定会自建机房；对于小型的互联网金融公司而言，将会从不太安全的云服务器转移到较为安全的机房。

高磊持同样观点。他认为，规模较大的互联网金融企业，将会自建，虽然投入巨大。但小型互联网金融公司将会继续依赖专业的第三方技术安全团队。

赖东方认为，现今的互联网金融安全行业已经开始起步了，未来三到五年会越来越好。但这两年，技术安全方面，互联网金融公司将还是依赖第三方公司。

徐晓锋认为互联网金融公司一定要建设立体的安全体系。他认为单纯追求高规格机房并不能阻止所有的攻击。需要从制度方面规范，避免技术员犯错；提高硬件水平，防范流量攻击；增强软件建设，提高web安全，防止非常规上传等程序性漏洞；最后便是做好数据库安全的防范，建立多个机房动态切换机制，当机房起火、服务器故障、电缆断裂的非常规情况发生，可以有效应对。