协会主要任务:
  • 协助政府贯彻落实《指导意见》等相关法律、法规和政策;
  • 为小额贷款公司建立信息平台,收集和发布会员所需信息;
  • 协调解决小额贷款公司试点过程中的有关问题;
  • 维护小额贷款公司的合法权益;
  • 开展与外省小贷协会和经济组织的联系,加强跨地域交流与合作;
  • 组织业务培训,开展理论研讨和高层论坛,提高从业人员的综合素质;
  • 组织交流行业先进经验,开展评优和表彰,促进小贷公司品牌建设与创新;
  • 编辑、出版、发行会刊和年鉴等出版物。
财经要闻 当前位置:首页 > 行业动态 > 财经要闻 > 
诸多P2P被曝安全漏洞 技术问题依然制约行业发展
发布时间:2016-03-31 09:14 来源:和讯网 编辑:聂今 点击:
   2016年以来,诸多P2P平台被曝技术安全漏洞。有的可以让黑客随意获取用户电话号码,有的可以获取管理员权限,有的甚至直接威胁资金安全。部分平台针对漏洞进行了修复,但有平台直接忽略,埋下隐患。业内人士指出,技术作为互联网金融企业风险防控的第一套硬功, 如不能有效解决,互联网金融的有序健康发展就成了纸上谈兵。

  多家P2P平台被曝漏洞

  和讯网记者梳理相关资料后发现,无论P2P平台多大规模、多么深厚的背景,都难逃技术漏洞这 一魔咒。

  在相关漏洞报告及安全测试平台,不少国资、上市及风投系P2P平台榜上有名。

  之前和讯网曾经报道过,2016年3月21日,投资者爆料,国资系平台博金贷网站无法打开。后得 知,其遭受黑客DDOS攻击,总次数达7次,导致网站出现故障。

  作为一家同时具有广发信德A轮风投、上市公司大金重工(002487,股吧)B轮融资、国资金控中银粤财战略入股三大背景的互联网金融平台投哪网,日前被白帽子(正面黑客,识别计算机系统或网络系统中的安全漏洞,但并不会恶意利用,而是公布漏洞,这样,系统将可以在被黑帽子利用之前修补漏洞)曝出“投哪网多处漏洞(弱口令/SQL注入/任意文件上传)”,该白帽子在2016 年1月25日发帖指出,检测投哪网网站系统时发现,任意查询的地址基本都存在SQL注射、在文件处发现可以上传任意文件。完全没有任何过滤、可以获得比较高的内网权限、完全可以继续对内网进行深入渗透。

  除了投哪网以外,由中农高科(湖北)科技产业投资管理有限公司发起设立,中农基金在湖北设立的投资管理平台——京金联也被曝出系统安全漏洞。2016年3月20日,有白帽子发帖称,京金联某处密码重置等多个设计缺陷。这位白帽子在帖子中称,“查询账号资金信息接口,可越权查看账户资金(可发现土豪账户),另外查询历史收益接口、查询收支明细记录均可越权”。

  同样是在2016年3月2日,有白帽子称,破解了疑似宜人贷系统,宜人贷方面则表示,进行核实后发现,该IP对应的确实非宜人贷资产,也不是测试环境的资产。同时对数据库进行了dump,里面并没有数据。具体原因,还在调查中。

  另一家上市公司系平台微贷网则在2016年1月29日被曝出,“微贷网某系统存在XML实体注入漏洞 ”。

  和讯网记者继续梳理发现,作为风投系的一员,2015年,翼龙贷有多条漏洞记录,其中“弱口令 导致大量敏感数据泄露”“网站多处设计缺陷再次泄露所有用户的手机号码/邮箱/身份证号码/ 姓名/登录密码/支付密码等”“运维不当(影响用户账户安全和涉及大量敏感数据) ”等部分中 高危漏洞被白帽子发现并公布。

  而另外一些实力较强的平台,例如红岭创投,在2015年也被曝出有系统安全漏洞。其中“红岭创 投某系统java反序列化执行漏洞管理员权限”“红岭创投存在撞库风险(已成功撞出N个余额账户)”等部分中高危漏洞被发现。

  是不是只有背景、资金实力雄厚的平台才会有技术安全漏洞出现?

  并不尽然。中小微平台更容易爆发出技术安全漏洞,也更容易被黑客盯上。

  其中,火融网主站SQL注入漏洞、金硕果后台登录窗口存在sql注入(管理员账户可登陆)、爱定 投官网任意用户密码修改(该平台已提现困难)、袋鼠妈妈主站sql注入漏洞等等。

  和讯网记者查询发现,在相关漏洞报告平台,以“P2P”为关键词能找到700多条漏洞记录,涵盖 了各大中小型P2P平台。技术安全问题显然已成悬在P2P甚至整个互联网金融行业头上的达摩克里 斯之剑。

  生存还是毁灭?解决还是忽略?

  面对高危漏洞,面对安全隐患,“生存还是毁灭、解决还是忽略”摆在了平台面前。

  有的平台选择了立即处理。博金贷网站受到攻击后,3个小时恢复了正常,投资者资金并未遭受 损失;2016年2月1日,微贷网指出漏洞为供应商的oa漏洞,已开始处理;2016年3月7日,投哪网 漏洞修复;翼龙贷及红岭创投在认领漏洞后,修复了一部分,剩下的仍在修复过程中;金硕果回复称CNVD(国家信息安全漏洞共享平台)确认并复现所述漏洞情况,已经转由CNCERT(国家互联网应急中心)下发给广东分中心,由广东分中心后续协调网站管理单位处置。

  但另一些平台则选择了忽略。针对京金联的漏洞,白帽子提出了修复方案:1、加强验证,修复 越权;2、验证码跟手机号绑定;3、账户跟手机号绑定。但平台回应称,漏洞危害等级为无影响 ,已忽略;火融网及袋鼠妈妈的漏洞则显示未联系到厂商或者厂商积极忽略。

  截止发稿时,在相关漏洞平台上,京金联、火融网及袋鼠妈妈并未对漏洞发表任何意见。

  做好技术“硬功”互金才能良性稳健发展

  2016年3月5日,国务院总理李克强作政府工作报告,将“规范发展互联网金融”列入2016年重点工作部分。这是从2014年,互联网金融首次被写入政府工作报告后,首次提出规范发展。

  因此,如何才能规范发展?除了平台严格遵守《网络借贷信息中介机构业务活动管理暂行办法( 征求意见稿)》中的12条红线;建立严密的风控体系;更要不断提高互联网技术安全水平。

  一位匿名技术安全人士向和讯网记者指出,很多网贷平台因为资金、安全意识等多方面因素影响 ,没有请专职的技术安全人员,网贷行业系统技术漏洞确实非常普遍。

  面对如此之多的安全问题,该用怎样的方式解决?该技术安全人员表示,现阶段只能采取折中的 方式,平台通过与相关的漏洞平台及白帽子合作,及时发现问题,及时修复漏洞,形成良性循环 。

  金融安全无小事,再小的事情只要涉及到投资者的资金安全就是最大的事情。互联网金融本质还 是金融,风险防控是硬性要求,如果技术安全问题始终无法得到解决,那么行业的健康稳健发展 只能是一纸空谈。

  在上市、监管、托管等话题在互联网金融行业长盛不衰的同时,也希望能够在未来有更多的讨论 ,讨论互联网金融平台如何才能从根本上加强技术力量建设,切实保护投资人的资金及信息安全 。
 

上一篇:活期理财产品退出利于P2P网贷平台规范化发展
下一篇:多重利好推动网贷数据大幅走高 “规范发展年”拉开帷幕


关于我们|网站声明|隐私保护
Copyright©2013 江西省小额贷款行业协会 版权所有赣ICP备13006942 投稿纠错
联系电话:0791-86278921 传真:0791-86278920 地址:江西省南昌市九龙湖区国际博览城绿地商业中心4号楼A座1008-1009
江西艺隆石材网