网贷之家遭遇30G猛攻 黑客称百万受雇
3月19日,国内最大、最具影响力的P2P网贷行业门户网“网贷之家”发布了一封给广大用户的致歉信;次日,网贷之家再次对外发出《网贷之家对遭遇恶意攻击的声明》,针对近期遭受抹黑报道、受到黑客严重攻击事件进行了澄清。
据了解,自3月16日以来, “网贷之家” 受到黑客持续多日的恶意严重攻击,其中,包括数万IP的CC攻击,持续十分钟30G/s的流量攻击,半天过十亿次的连续攻击。截至发稿,此次攻击已持续一周有余。
网贷之家的安全服务商百度加速乐提供的数据显示:本次攻击为Synflood攻击和CC攻击的混合式DDoS攻击。这是继去年年底人人贷、好贷网、拍拍贷等受到黑客攻击后,P2P行业的另一波黑客攻击行为。
网贷之家负责人坦言,以前也受到过黑客攻击,但是此次攻击强度空前、手段多变,导致网站时常无法正常访问。据透露,日前一位自称是黑客的网友找到网贷之家负责人,称有人花6位数的重金聘请其发起此次攻击,且宣称如未能达到预期效果,攻击还将继续进行。该黑客自称目前藏身于老挝。
值得一提的是,此次事件,也引发了上海市信息安全行业协会的高度关注,并迅速联系了刚从世界顶级黑客大赛夺冠归来的国内顶级白帽团队“Keen Team”,介入事件调查。
那些年,被黑过的P2P平台
自去年以来,P2P平台正逐渐成为黑客眼中的一块“肥肉”。
2014年元旦后,P2P行业越来越受到资本的青睐,业界陆续传来融资捷报。在1月9日新闻发布会当天,P2P平台大佬人人贷刚刚对外发布获得1.3亿美元的投资,然而时隔不到两个小时,其官方微博就发布了被黑客攻击的告示。
同一天,拍拍贷、好贷网也遭遇了黑客的恶意流量攻击。拍拍贷发布公告称:“拍拍贷网站于1月9日19时15分遭到恶意攻击,为保护用户信息和资金安全,我们暂时停止访问服务……”
“去年底有个‘黑鹰小组’,专黑网贷平台,还进行勒索。”一位业内人士透露道。据了解,2013年12月,广东地区多家P2P平台,包括e速贷、通融易贷、快速贷、融易贷、融信网等集中被黑。而在当年10月,就有一些平台因黑客的攻击导致系统瘫痪,深陷挤兑泥潭,比如内蒙古的银实贷。
媒体报道称,不久前,曾有一位黑客给金海贷平台负责人发信息,称“又要过年了,奶粉钱比较紧张”,要求金海贷封一个8.8万元的红包。
有业内人士表示,事实上,许多P2P平台曾遭遇黑客攻击。黑客通过申请帐号、篡改数据、冒充投资人进行恶意提现,“用户隐私被泄露甚至资金被盗事件也发生过,只不过这些尚未见诸报端而已。”
据知情人士透露,通常黑客会进行“精准打击”,即在一个网贷平台处于“薄弱”时下手。“如果一家平台在某个时间段有大量资金到期,这时会产生许多提现需求。而如果平台这个时候被黑,投资人一旦恐慌提现,加上平台是拆标的话,资金链一断裂,平台就玩完了。”
“去年某P2P平台,因黑客连续攻击几天,造成投资人恐慌挤兑,到现在还半死不活。”上述知情人士称,整个行业从2013年下半年开始就进入被黑客集中攻击阶段,有好几家平台因为黑客的攻击出现提现困难和挤兑。
黑客为何钟情于P2P网贷行业?
业内人士指出,以P2P为代表的互联网金融行业受到资本市场的关注,是引起黑客注意的原因之一。此外,由于P2P网贷行业的类金融属性,做的是‘钱生钱’的生意,所以从一诞生就被黑客惦记上了。
P2P网贷作为互联网金融的率先试水者,这一新型的民间金融模式,既帮助解决了中小企业融资难、融资贵的问题,也让资金富余者多了一条投资渠道。一些早期的投资者,也已然尽享这一新兴理财产品所带来的稳定收益。
据统计,至2013年底,整个P2P网贷行业已有超过800家网贷平台,成交规模超过1000亿元,比2012年增长5倍,是2011年的20倍。今年,随着互联网金融的进一步升温,或再创新高。
与此同时, 与其他金融机构相比,P2P平台的安全技术力量无疑是一块短板,很多平台漏洞较多。一般来讲,百度、腾讯、阿里巴巴等大型互联网公司拥有大量服务器和带宽用以防御此类攻击,而相对弱小的P2P平台,其抗风险能力则很小。
提高平台技术安全,无疑成为各大P2P平台2014年迫在眉睫的任务。
此外,据业内人士介绍,遭遇黑客攻击可能有两种原因,一是由于竞争激烈,入侵行为实为对手公司所为,让不少用户从被攻击的平台流出,是一种不正当竞争行为;另一则可能是黑客本身向公司进行敲诈勒索。
拿什么拯救你,互联网金融安全
有人形容黑客攻击,犹如悬在互联网金融头上的一把利剑。P2P网贷的迅猛发展也带来了行业风险的高速聚集,特别是安全风险正在成为P2P平台的致命威胁。
据路透社消息,2008年以来,全球共有众多P2P网贷平台宣布破产倒闭,损失超过300亿美元。除30多家涉嫌诈骗跑路外,其余皆因黑客攻击引起系统瘫痪,数据被恶意修改洗劫一空,最终导致投资者疯狂提现被迫关门。
据世界反黑客组织透露,今后很长一段时间内,P2P网贷平台仍将是全球黑客攻击的首要目标。技术安全已成为P2P网贷平台最致命的风险
那么,为何黑客能够如此嚣张?
“主要是黑客攻击成本太低,防御成本远远大于攻击成本。”知名互联网安全服务商百度加速乐产品经理西盟指出,目前黑客攻击主要有两种:一是黑客入侵,会造成敏感数据泄露;二是,暴力打击,会影响服务,但数据不会泄露。
他表示,对于前一种攻击,可以采取比如数据库与对外系统的隔离、更严格的权限限制,以及外加一些防火墙设备等措施。对于第二种,需要花钱购买足够大的带宽、使用防火墙。
据业内人士介绍,目前多数中小型互联网企业可以抵御1G到2G的小规模入侵,但10G以上的入侵,几乎无力抵抗。
而当网站被攻击时,除了购买应急性的解决方案以外,只能在日后升级软硬件设备,而这将是巨大的成本开销。“目前购买1G带宽的费用一般是30万元/年。如果攻击有30G,自己买带宽的话,得花900万元。”
事实上,黑客的攻击正让P2P及相关的互联网金融公司成本骤增。业内人士预计,2014年在互联网安全方面要投入的成本,将比此前至少要翻倍。
另一方面,法律方面的盲点或是互联网金融安全的一大短板。
网贷之家首席研究员马骏表示,目前在互联网金融安全方面,具体到P2P行业尚没有相关法律条例,更多的是参照其他互联网网站。
此外,西盟也指出,不少网站因受攻击,都曾报过警,但基本上都是不了了之。网络犯罪比较难取证,难定位,而且目前国内网络安全方面,警察水平仍比较欠缺。“去年央行被攻击,黑客也没抓到。”
全球最大的比特币交易平台Mt.Gox,由于系统漏洞遭到黑客攻击,于2月28日宣布破产,85万个价值5亿美元的比特币被盗一空,全球超过30万比特币投资者损失惨重,血本无归;淘宝和支付宝也曾被曝存在安全漏洞,黑客可利用该漏洞登录他人淘宝、支付宝账号进行操作。
