“一會(huì)回去給自己的銀行密碼保護(hù)問題設(shè)計(jì)一個(gè)奇葩答案!”11月18日下午,參加完在上海舉行的互聯(lián)網(wǎng)金融安全論壇后,一位與會(huì)者“心有余悸”地說道。2014年興起的互聯(lián)網(wǎng)金融被看作是“互聯(lián)網(wǎng)+”計(jì)劃中最重要的一環(huán),但由此引發(fā)的風(fēng)險(xiǎn)如同水面下的冰山,隱秘而巨大。
“你的密保我知道答案”
一張PPT上,密密麻麻列著幾條交易信息,這是一份從網(wǎng)絡(luò)上隨意找來的報(bào)文(網(wǎng)絡(luò)中交換與傳輸?shù)臄?shù)據(jù)單元)。表面看起來,這是一些毫無意義的代碼和數(shù)字,但在一位信息安全專家的眼中,這些字符代表的是一個(gè)若隱若現(xiàn)的“人”。
如何把這個(gè)“人”勾勒得更清晰呢?曾有安全機(jī)構(gòu)做過實(shí)驗(yàn),設(shè)計(jì)一個(gè)網(wǎng)絡(luò)爬蟲(自動(dòng)抓取網(wǎng)頁信息的工具),里面裝入從這些報(bào)文中提取的一個(gè)人的簡單信息,然后將爬蟲隨機(jī)放入互聯(lián)網(wǎng)入口。結(jié)果,爬蟲分別從5個(gè)網(wǎng)站中找到了這個(gè)人的出生年月、身份證號(hào)碼、家庭地址、工作單位、職務(wù)、領(lǐng)導(dǎo)姓名、畢業(yè)學(xué)校,甚至前女友的名字。實(shí)驗(yàn)中,這個(gè)機(jī)構(gòu)一共選擇了500個(gè)樣本,其中,400個(gè)人成了“透明人”。
想想看你的各種密保問題,是不是大多是這樣的問題:“你父親的名字是什么?”“你母親的名字是什么?”“你的小學(xué)名字是什么?”“你高中老師的名字是什么?”如果老老實(shí)實(shí)將真實(shí)答案作為密保問題的答案,便很有可能被運(yùn)用類似手段獲得個(gè)人詳細(xì)信息的黑客,利用答案修改電話銀行或者網(wǎng)上銀行的密碼,然后竊取賬戶金額。
當(dāng)人們習(xí)慣于將一切生活轉(zhuǎn)移至互聯(lián)網(wǎng)上時(shí),意味著在這個(gè)虛擬世界中,一個(gè)人比在現(xiàn)實(shí)生活中還要透明。而大數(shù)據(jù)的興起,讓這種對(duì)個(gè)人的“網(wǎng)絡(luò)畫像”變得越來越容易,精度也越來越高。更令人心悸的是,帶著個(gè)人信息的各種數(shù)據(jù)在互聯(lián)網(wǎng)上幾乎隨處可見,并可輕易獲得。據(jù)上述專家介紹,他們手中類似的報(bào)文便有500萬條。
不要輕易在小網(wǎng)站投資
剛剛結(jié)束的雙十一,一種付款方式成為刺激消費(fèi)的新手段。數(shù)據(jù)顯示,在支付寶雙十一單天的7.1億筆交易中,有6048萬筆來自花唄?;▎h是螞蟻金服推出的一種信用借款,買家在購物時(shí)可以像使用信用卡一樣透支和分期。
互聯(lián)網(wǎng)巨頭正在爭奪銀行的“飯碗”,對(duì)于這一點(diǎn),傳統(tǒng)銀行業(yè)并不諱言。在當(dāng)天的論壇上,多名銀行界的CIO(首席信息官)表示,要直面來自互聯(lián)網(wǎng)的挑戰(zhàn),而這種挑戰(zhàn)不僅來自螞蟻金服、騰訊、百度等大型互聯(lián)網(wǎng)公司,還有P2P、眾籌等這些“去中心化”的商業(yè)模式。
然而,面對(duì)移動(dòng)互聯(lián)網(wǎng)的興起,無論是傳統(tǒng)銀行,還是新金融創(chuàng)新者,都承受巨大的壓力。論壇上,交通銀行上海分行信息技術(shù)部總經(jīng)理吳宇透露,2014年下半年,銀監(jiān)會(huì)曾經(jīng)對(duì)國內(nèi)銀行業(yè)做過一次安全掃描,結(jié)果發(fā)現(xiàn)了20多萬次高危探測,15000多次攻擊,來自黑客的攻擊令銀行防不勝防。此前本報(bào)也曾報(bào)道過,在知名白帽子網(wǎng)站烏云上,有銀行被直接點(diǎn)名存在漏洞。
更令人擔(dān)憂的是,全國數(shù)千家P2P平臺(tái),大多數(shù)信息系統(tǒng)的造價(jià)都不超過百萬,而且諸多網(wǎng)站都是通過迭代其他網(wǎng)站的系統(tǒng)和模版而來,一旦模版存在漏洞,黑客系列攻擊的成本極低。2015年7月,便有黑客利用深圳一家網(wǎng)貸系統(tǒng)的漏洞,一夜之間攻擊了國內(nèi)100多家P2P網(wǎng)貸網(wǎng)站,其中20多家網(wǎng)站因此“技術(shù)性”倒閉,給投資者帶來極大的損失。
在小型P2P網(wǎng)貸平臺(tái)交易的另一種風(fēng)險(xiǎn)在于,很多投資者的賬號(hào)與密碼,與自己的銀行密碼,或者其他網(wǎng)站的密碼是一致的,而這些信息,由于網(wǎng)站的信息安全系統(tǒng)薄弱,黑客獲得幾乎不費(fèi)吹灰之力。
記者觀察
別不把自己的信息當(dāng)盤菜
聽完論壇后,記者回家第一件事,是勸家里的老人改密碼。經(jīng)過一年多被滴滴打車補(bǔ)貼、支付寶買單五折、P2P高收益等活動(dòng)的洗禮,對(duì)于P2P網(wǎng)貸、微信支付、支付寶等新興金融模式,周圍的人從抗拒、懷疑、到接受,就連對(duì)ATM柜員機(jī)操作不太熟悉的老人,也加入了互聯(lián)網(wǎng)金融的行列。然而,當(dāng)移動(dòng)互聯(lián)網(wǎng)用資本以強(qiáng)勢的姿態(tài)裹挾了如此多用戶時(shí),有沒有投入足夠的錢來保護(hù)這些用戶呢?
互聯(lián)網(wǎng)金融是一種普惠金融,其覆蓋群體既有對(duì)互聯(lián)網(wǎng)相對(duì)熟悉的年輕人,也有毫無網(wǎng)絡(luò)安全概念,只被便捷和高收益吸引的老人,他們對(duì)于風(fēng)險(xiǎn)的抵抗能力更弱,一旦被攻擊,損失的可能是賴以為生的養(yǎng)老錢 。
摩根大通每年投入2億多美元在信息系統(tǒng)上,但仍然因?yàn)橐慌_(tái)沒有二次驗(yàn)證的服務(wù)器被黑客攻入,損失數(shù)千萬用戶信息,而在很多P2P網(wǎng)站中,用于信息系統(tǒng)的投入不到十分之一,更遑提安全投入了。
所以,在安全尚未得到保證之前,建議投資者對(duì)自己的錢袋子負(fù)責(zé),別只看收益不看安全,也別不把自己的信息當(dāng)盤菜,保護(hù)好數(shù)據(jù),就是保護(hù)好錢。