全国数千家P2P平台,大多数信息系统的造价都不超过百万,而且诸多网站都是通过迭代其他网站的系统和模版而来,一旦模版存在漏洞,黑客系列攻击的成本极低。“一会回去给自己的银行密码保护问题设计一个奇葩答案!”11月18日下午,参加完在上海举行的互联网金融安全论坛后,一位与会者“心有余悸”地说道。2014年兴起的互联网金融被看作是“互联网+”计划中最重要的一环,但由此引发的风险如同水面下的冰山,隐秘而巨大。
“你的密保我知道答案”
一张PPT上,密密麻麻列着几条交易信息,这是一份从网络上随意找来的报文(网络中交换与传输的数据单元)。表面看起来,这是一些毫无意义的代码和数字,但在一位信息安全专家的眼中,这些字符代表的是一个若隐若现的“人”。
如何把这个“人”勾勒得更清晰呢?曾有安全机构做过实验,设计一个网络爬虫(自动抓取网页信息的工具),里面装入从这些报文中提取的一个人的简单信息,然后将爬虫随机放入互联网入口。结果,爬虫分别从5个网站中找到了这个人的出生年月、身份证号码、家庭地址、工作单位、职务、领导姓名、毕业学校,甚至前女友的名字。实验中,这个机构一共选择了500个样本,其中,400个人成了“透明人”。
想想看你的各种密保问题,是不是大多是这样的问题:“你父亲的名字是什么?”“你母亲的名字是什么?”“你的小学名字是什么?”“你高中老师的名字是什么?”如果老老实实将真实答案作为密保问题的答案,便很有可能被运用类似手段获得个人详细信息的黑客,利用答案修改电话银行或者网上银行的密码,然后窃取账户金额。
当人们习惯于将一切生活转移至互联网上时,意味着在这个虚拟世界中,一个人比在现实生活中还要透明。而大数据的兴起,让这种对个人的“网络画像”变得越来越容易,精度也越来越高。更令人心悸的是,带着个人信息的各种数据在互联网上几乎随处可见,并可轻易获得。据上述专家介绍,他们手中类似的报文便有500万条。
不要轻易在小网站投资
刚刚结束的双十一,一种付款方式成为刺激消费的新手段。数据显示,在支付宝双十一单天的7.1亿笔交易中,有6048万笔来自花呗。花呗是蚂蚁金服推出的一种信用借款,买家在购物时可以像使用信用卡一样透支和分期。
互联网巨头正在争夺银行的“饭碗”,对于这一点,传统银行业并不讳言。在当天的论坛上,多名银行界的CIO(首席信息官)表示,要直面来自互联网的挑战,而这种挑战不仅来自蚂蚁金服、腾讯、百度等大型互联网公司,还有P2P、众筹等这些“去中心化”的商业模式。
然而,面对移动互联网的兴起,无论是传统银行,还是新金融创新者,都承受巨大的压力。论坛上,交通银行上海分行信息技术部总经理吴宇透露,2014年下半年,银监会曾经对国内银行业做过一次安全扫描,结果发现了20多万次高危探测,15000多次攻击,来自黑客的攻击令银行防不胜防。此前本报也曾报道过,在知名白帽子网站乌云上,有银行被直接点名存在漏洞。
更令人担忧的是,全国数千家P2P平台,大多数信息系统的造价都不超过百万,而且诸多网站都是通过迭代其他网站的系统和模版而来,一旦模版存在漏洞,黑客系列攻击的成本极低。2015年7月,便有黑客利用深圳一家网贷系统的漏洞,一夜之间攻击了国内100多家P2P网贷网站,其中20多家网站因此“技术性”倒闭,给投资者带来极大的损失。
在小型P2P网贷平台交易的另一种风险在于,很多投资者的账号与密码,与自己的银行密码,或者其他网站的密码是一致的,而这些信息,由于网站的信息安全系统薄弱,黑客获得几乎不费吹灰之力。
记者观察
别不把自己的信息当盘菜
听完论坛后,记者回家第一件事,是劝家里的老人改密码。经过一年多被滴滴打车补贴、支付宝买单五折、P2P高收益等活动的洗礼,对于P2P网贷、微信支付、支付宝等新兴金融模式,周围的人从抗拒、怀疑、到接受,就连对ATM柜员机操作不太熟悉的老人,也加入了互联网金融的行列。然而,当移动互联网用资本以强势的姿态裹挟了如此多用户时,有没有投入足够的钱来保护这些用户呢?
互联网金融是一种普惠金融,其覆盖群体既有对互联网相对熟悉的年轻人,也有毫无网络安全概念,只被便捷和高收益吸引的老人,他们对于风险的抵抗能力更弱,一旦被攻击,损失的可能是赖以为生的养老钱 。
摩根大通每年投入2亿多美元在信息系统上,但仍然因为一台没有二次验证的服务器被黑客攻入,损失数千万用户信息,而在很多P2P网站中,用于信息系统的投入不到十分之一,更遑提安全投入了。
所以,在安全尚未得到保证之前,建议投资者对自己的钱袋子负责,别只看收益不看安全,也别不把自己的信息当盘菜,保护好数据,就是保护好钱。
■IT时报记者 郝俊慧