中华工商时报:P2P网贷平台数据安全存隐忧从第三方IT商购买“模板”的平台最易受到攻击

中华工商时报 Apr 15, 2015 11:27:50 AM 新新贷CTO李冠峰

来源:中华工商时报        时间:2015年4月15日

链接:http://epaper.cbt.com.cn/epaper/uniflows/html/2015/04/15/07/07_63.htm


    新新贷CTO李冠峰:

    平台想要发展长远,首先确保用户信息不泄漏,其次就是绝不滥用用户信息。个人隐私问题是个大课题,能做到的就是不收集业务无关的隐私信息,不收集客户没有授权的隐私信息,对于收集到的信息确保不外泄、不滥用。

    银客网副总裁李飞:

    数据安全防护不能一劳永逸,需要不断加强与升级更新软硬件系统,才能切实保障用户的核心利益不受损害。

    日前,芝麻金融被爆出数据库遭泄露,据了解,这些数据已经在网上流传开来,可能导致千万级用户资金受影响。而芝麻金融方面也已坦承他们的后台遭到黑客攻击,并强调未出现任何用户资金损失的情况。据了解,这些数据包括用户姓名、身份证号、手机号、邮箱、银行卡信息等,一共有超过逾8千名用户的资料,只需用人民币充值兑换积分,即可在论坛上将这些数据全部下载。随后,“白帽子”利用这些泄露数据做了测试后发现,全部都能成功登陆,并且很多账户内有几十万资金,加起来超过3千万。
    一朝被蛇咬,十年怕井绳。对于不少投资者而言,信息泄露,意味着不安全,一旦公信力下降,对平台来说是得不偿失。芝麻金融是什么原因造成黑客侵袭?侵袭后会对大众产生什么样的影响?P2P网贷平台应该如何保护信息数据,才能让大众免于黑客侵袭?
    对于网贷平台而言,这是个亟待解决的问题。中华工商时报记者采访了专家、从业者及专门负责技术的工程师。
    数据:泄露去哪里了?
    一直通过P2P网贷平台来理财的赵女士告诉记者,听说平台个人信息数据泄露,第一时间来查询了自己的平台情况。“密码多半相近,个人信息数据泄露,后果不堪 设想。”据了解,数据对于个人投资者而言,至关重要,相当于可以偷窥到所有的秘密。“数据只有高度保密,投资者才能放心。”赵女士告诉记者。
    数据,作为金融的必需品,承载了用户的部分机密。一旦机密信息被泄,消费者很可能对其失去信心,转而通过其它方式找到适合自己的资产理财平台。据了解,自 2013年P2P行业日益火爆以来,其遭遇黑客攻击的频次亦呈量级增加。目前,已有逾150家P2P网贷平台受黑客攻击造成系统瘫痪、数据恶意篡改等问 题。
    据技术数据工作人员介绍,目前只要破解账号密码,获取管理员权限,就可以获得很多数据,或者通过拦截获取数据包,也可以获得数据。目前,技术的问题出现在哪里?数据一旦泄露,去哪里了?
    专门负责技术的工程师告诉记者,目前数据在应用方面,更多的通过卖资源,形成产业链,篡改数据的用途很大,可以进行投票、偷钱、修改各种信息。据悉,目前数据出现漏洞的反而是老的平台,尤其是金融类、电商行业居多,它们涉及个人利益资金,容易形成很多的金融信息安全。工程师介绍,目前时间跟网站的漏洞有关, 破解技术需要看时间,有的只需要一周到一个月时间就能破解其网站漏洞。
    据了解,从第三方IT系统处购买“模板”的P2P机构,是最容易成 为被攻击的标的。“因为黑客只需攻破一个“模板”,即可对数个乃至十数个的P2P系统平台发起攻击。”多位业内人士向记者介绍,目前中小型的P2P网贷机 构中,花20万-50万“买模板”搭平台的不在少数,部分机构的后台则是外包给第三方机构运营,成本投入约70万-100万元。
    银客网副总裁李飞表示,一般来说支付与资金风险分为两个方面,即用户自行泄漏与平台数据泄漏。用户点击钓鱼网站,密码被盗,非法攻击等都有可能让用户在操作使用中泄露核心信息,而平台作为信息聚集方,一旦系统安全防护不到位也有可能批量泄露用户资料与数据。
    对于任何的信息化服务来说,数据安全与资金安全是最为核心的用户权益,无论电子商务还是互联网金融,支付手段与工具的发展使得用户支付更加便利,但也的确带来了一些潜在风险。
    技术:把握技术敏感度
    数据是金融的生命,在移动金融时代,数据即是生命。P2P网贷平台数据技术如何?如何改变现状?技术团队的培育占整个平台费用支出的多少?在运营维护过程中,技术容易产生怎样的问题?后台技术的成本支出大概占平台费用支出多少?
   “安全方面的投入占平台总投入的30%以上。”据新新贷CTO李冠峰介绍。
    目前,网贷行业尚未出现监管,黑客们正是看准了一些中、小平台,找到一个切入点,很容易将系统破解,从而将个人数据盗取,卖给网络数据的黑色商家。对投资者百害而无一利。
    “毫不夸张地说,网贷平台将客户数据当做自己的生命线来对待。”李冠峰介绍,“目前,平台的数据访问采取严格分级制度,每个能访问数据的人员访问信息范围仅限工作职责所需。另外,平台各个应用之间有防火墙,仅限配置为信任的通道访问。除此之外,还要定期请网络安全公司进行渗透测试,防止开发人员的疏忽造成的漏 洞。”
    我们身处移动智能的时代,历经颠覆、瓦解、重构的产业模式,各种限制将会不断被打破,变化或许就是新世界的新秩序。创新是平台想要长期稳定发展的灵魂,李冠峰谈到,“在技术方面,将始终注重技术创新。”新新贷联合创新的网络安全公司,对新新贷的平台进行全方位的保护,能够抵御大部分的DDoS的攻击,并且邀请网络安全公司对公司平台进行安全方面的渗透测试,尽量做到对已知的系统漏洞都有防护。
    运维团队订阅安全技术网站的发布,能够对新发现的系统漏洞第一时间进行修护。在业务方面,只有技术人员始终保持对新技术的敏感度,在公司搭建的大数据平台中采用了多项世界先进的大数据处理技术,才能保证平台的信息安全。
    李飞指出,目前我们处在信息化充分应用的时代,作为平台方必须加强自身系统安全防护级别,采用严格的认证与数据加密体系,并做好内部风险防范机制。作为P2P平台来说,平台数据与资金数据应相互隔离,才能有效保障平台数据安全。
    数据安全防护不能一劳永逸,需要不断加强与升级更新软硬件系统,才能切实保障用户的核心利益不受损害。
    应用数据做什么?
    没有数据的金融的机构是没有发展的,没有数据的支持,互联网金融将是无源之水、无本之木。金融机构并不缺乏金融数据,无论是用户在存、投、保、消、贷等金融活动,在银行、证券、基金、保险、信托、期货等金融机构中潜移默化沉淀了海量的数据,但是我们的个人信息数据都应用在哪里?是否得到了广泛的应用?
    很多传统的金融机构担心互联网不安全,正是因为其缺乏安全性,更要将安全性放在首当其冲的位置。事实上,金融机构是一个经营风险的机构,他赚取的是风险溢价。而互联网的特点,开放、自由、分享、透明,确实比封闭的专网风险敞口要大。在新时代下,只有将二者联合,才能实现其长远、有序、积极的发展。P2P网 贷平台作为信息中介,想要走得更加长远,更要因势利导地驾驭风险,而不是因噎废食、独守一隅。
    中国经济和金融市场经历了粗放型的快速成长期,现在要进入集约型的深耕期,目前越来越多的互联网金融机构都已经意识到这一点并付诸实践。
    目前,我国尚且没有出台个人信息保护法,在法律没有明确的保护个人信息的情况下,李冠峰介绍,目前对待用户的数据,更多的是将心比心。想别人如何使用你自己的信息,你就如何使用用户的信息。这正所谓人同此心,心同此理。
    平台在使用用户信息的时候,想要立足长远,首先就是确保用户信息不泄漏,其次就是绝不滥用用户信息。个人隐私问题是个大课题,能做到的就是不收集业务无关的隐私信息,不收集客户没有授权的隐私信息,对于收集到的信息确保不外泄、不滥用。
    金融机构之于数据的使用,犹如人类之于火的使用。火带来了文明,数据将文明演绎到我们生活的点点滴滴。把握数据浪潮,才能在未来发展中走得长远。

您的意见

联系方式(选填)

提交成功