投资P2P的三大技术风险.doc

投资P2P的三大技术风险最近小编看到了很多关于P2P的负面新闻，如宜信的坏账风波，P2P的公司都说自己的坏账率有多低，但其实P2P八成公司做线下，低于3%坏账不可信，我们在关注P2P平台跑路风险的时候，同时也要关注网站的技术漏洞。风险一：网站被攻击投资人闻风而散去年10月之后，大量的P2P网站都遭遇了攻击，攻击形式是黑客以天量访问导致网站塞车，从而网页难以访问，人人贷等一些知名度非常高的平台也受到了攻击，今年网贷第三方网贷之家也遭遇攻击。“这么做的原因可能是敲诈，比如说一直让你的网站不能访问，这个时候黑客通知你打钱在他账上。”网贷之家首席运营官石鹏峰告诉记者。除了敲诈钱财之外，还有一种遭到攻击的情况是同行的恶性竞争。“其实仅仅是网页遭到攻击，而数据库没有受到影响的话，并不可怕。”团贷网CEO唐军告诉记者。的确，这么做从表面上看并不会对投资人的资金造成影响，但是实际的情况是，已经有过好几次因为被攻击而造成网站倒闭的情况了。“一些小的平台，一旦被攻击，就切断了网站和用户之间的纽带，用户登录不了，自然非常着急，明明对网站的信心就不足，只是冲着高收益去的，在遇到不能登录，用户就迅速撤资了。P2P一旦发生挤兑，资金链就断裂了。”去年的网赢天下、及时雨等P2P平台发生倒闭的事件都是在被黑客攻击之后若干天网站倒闭。石鹏峰对这种巧合的解释是，正是由于之前的供给导致原本对网站信心不足的投资客迅速撤资，网站遭到挤兑而倒下。风险二：账户被盗取资金被提走P2P账户被盗取可能意味真金白银的损失，其中一个关键环节就是账户中的资金被提走。但是问题在于，钱是如何被提走的？多数P2P网站一般都有“同一账户”原则，就是说，用户提现的银行卡必须是本人的银行卡。那么记者提醒你，即便这样，也并非说你的钱不会被别人提走。曾经发生过一起典型的案例，就是黑客入侵到平台数据库中，盗取了投资人的身份证图片（P2P实名认证时都需要上传身份证正反面图片），然后把此图片打印出来，再做身份证复印件，到银行开户。这时黑客就拥有了一张用投资人个人信息开户的银行卡，而这张银行卡其实是被作案人掌控的。他再将这张卡添加到投资人的P2P账户中，就可以直接用这张卡提现了。当然在这个环节中一些银行的失职最终导致风险出现。不过作为P2P平台是不可能去杜绝银行可能的漏洞的，它们只能想其他的办法保证用户信息安全。“现在几乎所有的平台的实名验证环节都要求上传身份证图片，建议所有投资人上传身份证时候，务必在上面打上水印，注明此身份信息只供网贷开户使用。”石鹏峰告诉记者。大多数P2P平台近年也有了2.0的提现条款，多数P2P平台都不允许投资人更改提现账户信息，如果一定要更改，就必须联络客服来更改。但是，这种情况下依然没能挡住漏洞。在近期发生的事件中，一名成都的作案人用假冒身份信息办理和投资人同名银行卡，此后，又通过视频验证（视频验证指客服通过视频与投资人照片对比验证申请人是否投资人本人）要求网站更改信息。由于“长相类似”，最终作案人瞒天过海，将投资人的提现账户更改成自己办理的提现账户。“所以，用视频验证并不靠谱，因为身份证照片本来就很难辨认，就算视频也很难百分百保证是本人。更好的方式是用预留手机号进行验证，每笔交易发送验证码给投资人，毕竟平台信息和个人手机同时被盗取的可能性比较小。”唐军告诉第一财经日报财商（微信号：caishang02）。而陆金所则告诉记者，他们使用打款账户和提现账户必须是同一银行账户的方法来保持用户资金安全。风险三：个人隐私被盗取最近网贷投资人小黑遇到了尴尬的情况，新成立的网络贷款平台频频向他发送广告短信：“亲，贷，成立了，利息20%30%，快来看看吧！”这说明小黑之前在P2P上注册的信息被黑客盗取了。网络早已让个人变得没有隐私，而P2P则几乎让投资人变成透明了。要投资P2P，首先要经过繁琐的认证，不仅仅是你的姓名、地址、工作单位，你的身份证号、手机号、私人邮箱等都会被暴露。如果你还要从P2P平台上借款，那么你将被验证更多个人信息，投资人几乎将自己的全部隐私交给了P2P平台。一旦这家平台没有尽职尽责地帮你保守秘密，你的信息就会落入他人手中。“当然，现在大多数平台在存储信息的过程中都会加密，比如姓名、身份证号等都不会全段显示，比如你叫章小红，显示出来就是章*红。”石鹏峰告诉记者。而平台是否做了加密处理，投资人自己是可以判断的。“最好的辨认方式是你登录自己的账户，看看姓名、身份证号等信息是否一览无余，还是已经打码。如果是一览无余，说明网站并没有做加密处理，那么被盗取的可能性较大。如果是已经打码，被盗取的可能性就更小一些。”唐军告诉记者。更严重的情况是不仅仅提取个人信息，甚至侵入了网站的数据库。“数据库被盗取对网站来说是最大的问题，一个平台所有的核心数据、投标记录、充值记录都在数据库中。可以想见，如果一个平台的后台数据被格式化，那么平台根本不知道谁投了标，投给了谁。”唐军告诉记者。尽管资金走账都通过第三方或者银行，按理来说即便网站没有留下数据，银行也会留存打款记录。可是这还远远不够。“如果数据库被格式化，要找银行要记录，必须通过相关部门许可，流程非常繁琐；另外，一些人的账户并非是自己充值，而是给亲戚朋友充值，这种情况怎么查；再有，就算是能够查到打款记录，没有投标记录，你怎么知道投给了谁。”唐军表示。因而，一些技术实力较强的平台都做了异地备份，比如一家