7月7日,P2P网贷平台新联在线发布关于遭受黑客占用宽带攻击的公告。公告称,7日中午,新联在线客服收到黑客敲诈信息,随后网站出现不稳定现象。同时,公告表示此次黑客攻击,只是以占用宽带的方式导致平台系统暂时瘫痪,并不会造成任何投资者信息的泄露和财产的损失。
新联在线于2013年7月31日上线,而这已经是今年进入7月以来该平台第二次出现技术问题。2014年7月3日,该平台发布系统公告称,技术团队经排查发现平台存在重大安全漏洞,已于第一时间进行了技术修复。
近年,P2P网贷平台进入高速发展期,网贷之家日前发布的《2014中国网络借贷行业上半年报》显示,截至2014年6月底,全国网贷平台数量约达1184家,行业成交量约为818.37亿元,至2014年底,我国P2P平台的数量将达1500家。
伴随P2P网贷行业高速发展的是平台和投资人的信息安全屡遭威胁,黑客入侵平台事件频频上演。据媒体报道,2013年,国内有近70家网贷平台因为黑客事件宣布关门。
模板系统先天不足
国诚金融联合创始人首席运营官王建章对《第一财经日报》记者表示,目前,攻击网贷平台的黑客主要有三种类型。
第一种是码农爱好者。该类人群基于个人兴趣爱好,喜欢抓取软件漏洞,并将测试结果告知平台。“这种黑客与平台是相互促进的关系。”王建章说。第二种是职业性攻击者。该黑客受到同行、高额借款者以及个人恩怨当事人的雇用,攻击平台。第三种是敲诈勒索者。这一类黑客会进入系统数据库,提取信息,并对平台进行金钱要挟,“一旦网站受到黑客攻击,导致投资者无法访问网站及平台提现困难,将会引起恐慌进而发生挤兑。”
本报记者了解到,今年以来,人人贷、拍拍贷、翼龙贷等多家网贷平台均遭受过黑客攻击,被迫关闭服务器,短暂停止服务。
行业内普遍认为,黑客攻击平台有三大指向性,分别是名气较大的平台、采用模板的平台以及高息平台。
一位业内人士对《第一财经日报》记者透露,由于成本受限,目前行业自主开发系统软件的平台数量不多,更多的平台选择购买“模板”,模板的价格也高低不等。“在淘宝,最便宜的200元即可购买一套,而成熟软件的模板供应商根据系统等级,定价在3万到50万不等。”该业内人士指出,由于系统内核相同,如果一个漏洞被发现,将会引起大批量平台漏洞爆发,黑客选择这样的平台“既经济又高效”。
本报记者梳理后发现,一家名为融都科技的互联网金融方案提供商在官网上写道:“300家P2P网贷系统客户,30%市场占有率。”另一家名为 “绿麻雀系统”的网站宣称:“绿麻雀系统是一款专业的P2P网贷程序,公司提供P2P网贷平台的全方位技术支持和网站运营策划。”在该网站案例一栏可发现使用该系统的部分网贷平台,包括融易信、易天贷、西部聚财、大地贷、盛世汇盈、雪山贷、国安贷等29家网贷企业。
随后,本报记者浏览淘宝网和中国供应商两大平台,输入“P2P系统”关键词后,淘宝共列出宝贝658件,最高价格达98000元。中国供应商更是显示出343754条报价信息。由青岛创元软件科技有限公司开发的价值6000元一套的P2P网贷程序在页面标注着“110套起批”。
自建系统成本高
面对“来势汹汹”的黑客,模板系统存有“先天不足”,业界普遍认可的应对措施是平台自建系统。但业界人士也坦言,拥有独立系统面临诸多现实困难,如耗费时间长、系统不稳定,成本更高等。
据了解,目前国诚金融的平台系统系独立开发,包括人力和软件在内,年投入额达100万元,随着规模的增加,未来年投入额将增加至300万。“自己开发是个无底洞。”王建章说。
这个无底洞还体现在服务器上,同平台系统相似,服务器有平台独立购买和使用云服务器两种方式。以阿里云为例,一台服务器一年的托管费用为4万元,如果该平台需要6台服务器,那么年成本在24万左右。如果单独购买服务器,每台成本为6万元。“购买费用不是最主要的,更重要的是购买后该服务器需要到电信做托管,以保证服务器72小时不间断电源。”王建章对《第一财经日报》记者说,行业内有些平台号称独立服务器,但这些服务器没有去电信做托管,而是放置在企业机房内,一旦断电将造成数据大量流失。
证大财富总经理贺牧在2014年7月12日“如何做一名合格P2P投资者”论坛上表示,网络信息安全不仅仅是指防范黑客的攻击,还有平台对互联网系统的投入。2012年底,证大E贷平台曾经发生过硬盘被烧毁、数据丢失事件。该事件后,证大财富加大设备投入,据贺牧透露,三年来针对网络系统累计投入已达1000多万元,其中人员费用占比六成,设备费用占比四成。目前不包含平台运营端的人数,证大E贷的IT团队人数已达80人。
用户信息泄露亟待解决
P2P加速膨胀不仅体现在平台数量上,更体现在选择这一理财方式的投资者规模上。网贷之家《2014中国网络借贷行业上半年报》数据显示,截至 2014年上半年,我国P2P网贷平台投资人达44.36万人,而这一数字几乎为2013年全年投资人数量25.05万人的2倍。P2P网贷平台介入者倍数增加的背后是大量的个人信息被平台所掌握,个人信息安全急需得到重视和保护。
2013年10月24日,人人贷发布用户个人信息安全提示公告,公告指出,人人贷工作人员在与用户沟通过程中,发现个别用户注册人人贷账户时发生身份信息已被占用的情况。经工作人员调查发现用户曾在某P2P平台注册并提交过身份信息,该平台盗用了用户信息在人人贷网站上注册并用于发布广告。
用户信息泄露已经成为亟待解决的问题,而用户实名认证时,是否需要上传身份证也成为投资人和平台关注的热点。
据了解,目前部分平台在实名认证环节无需上传身份证,如爱投资、积木盒子、合力贷、诺诺磅客等。
选择无需上传身份证的平台认为,这种方式一方面造成较差的用户体验,另一方面也存有信息泄露风险。“信息真实性绑定个人利益,如果平台注册信息与银行卡信息不匹配,投资者将无法提现,因此投资人没有造假的必要。”
要求上传身份证的平台更多出于成本的考虑,“目前,网贷平台和公安部实名认证可以对接,但每查询一次就要5元钱,还不管成功与否。”强行要求投资人上传身份证对平台来说无疑十分“经济”。
本报记者还了解到,针对用户信息安全问题,过去两年部分平台还曾发生黑客入侵造成投资人利益受损的案例。黑客入侵平台系统后台,将投资人实名认证信息与提现银行卡相关信息修改为黑客本人信息,导致投资人盈利流入黑客账户。“现在主流平台基本都无需上传身份证,这也是行业内的发展趋势。”王建章说。
2014年年初,银监会副主席郭利根在一次论坛上表示,互联网金融要牢牢守住信息安全底线,增强互联网金融的风险抵御能力,真正促进互联网金融行业健康地发展。