黑客利用漏洞提现千万，平台系统安全不容小视！

近日，上海警方通过半年连续奋战，成功侦破一起黑客攻击某理财APP特大网络盗窃系列案，在全国30余省份抓获了该案犯罪嫌疑人近百名。今年2月27日，某金融信息服务有限公司发现旗下一款APP软件被多人利用黑客手段攻击，半天时间内即被非法提现1056万元，遂向公安机关报案。

不法分子利用APP平台漏洞，使用黑客手段篡改APP充值过程中的请求金额数据，导致平台入账金额异常，并迅速提现。作案得手后，又通过互联网传授作案方法，致使该漏洞被大量传播利用。至案发，共有422个异常APP账户使用该方法进行恶意充值，其中269个提现成功。利用理财APP的漏洞，非法提现千万，同时反映出两个问题：一互联网技术越来越发达，利用互联网技术进行网络盗窃的案件也越来越多；二网贷平台APP软件安全技术、平台系统安全建设急需加强。

APP是近年来新起的网络产物，各行各业都利用APP运用进行推广以达到扩大业务量目的。全国2000余家P2P平台，为了更好的服务用户，抢占更多的客户资源，不少的平台都在开发属于自己平台的APP。几乎所有的APP都会大势宣传，软件如何便捷，收益如何，在资金安全问题上却没有过多的给予用户保障，恰恰资金安全是整个用户体验过程最重要的。现在所有关于资金流的运用都是采用绑定银行卡操作，用户实名验证，只要理财软件出现漏洞，不法分子就可以轻而易举的将用户银行卡上的资产进行转移。

前段时间比特币勒索病毒席卷全球100多个国家，2月份的这其特大网络盗窃案再次引发了投资人对P2P网贷平台系统安全性的关注。评估一家平台的实力如何，资金安全才是最大参照物。一些老司机认为，平台是否靠谱，可以留意其官网建设以及APP的使用情况判断，但需要注意的是，华丽的外表不能代表其网站系统建设安全。

大部分P2P的业务定位偏向普惠金融、消费金融，平台通过降低门槛，扩大业务量，同时借款人资质评估工作量也激增。如何收集借款人个人信息，如何从信息中有效评估，如何保护用户信息成为平台需要解决的问题。平台的出借人与借款人为实名注册用户，平台用户账号关联银行账号，平台系统安全成为重中之重。

《暂行办法》第三章第十八条规定：

网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试，具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度，建立信息科技管理、科技风险管理和科技审计有关制度，配置充足的资源，采取完善的管理控制措施和技术手段保障信息系统安全稳健运行，保护出借人与借款人的信息安全。

网络借贷信息中介机构应当记录并留存借贷双方上网日志信息，信息交互内容等数据，留存期限为自借贷合同到期起5年；每两年至少开展一次全面的安全评估，接受国家或行业主管部门的信息安全检查和审计。

网络借贷信息中介机构成立两年以内，应当建立或使用与其业务规模相匹配的应用级灾备系统设施。

目前，大部分P2P平台已经联合第三方机构开展了信息安全风险评估、渗透测试等工作。第三方机构遵循相关技术规范，全面分析P2P的信息系统，评估其面临的安全威胁及应对安全风险的能力，加强安全保障措施，在可控的范围内降低安全风险。渗透测试则是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对P2P信息系统的安全作深入的探测，发现系统最脆弱的环节。渗透测试能够直观的让管理人员认清系统所面临的问题，改善系统安全状况。

互联网技术越来越发达，给网贷行业带来便利的同时，平台的网络安全建设也需不断完善，最大程度降低用户的交易风险，保障资金安全。

标签：