風(fēng)險(xiǎn)一：網(wǎng)站被攻擊投資人聞風(fēng)而散

　　去年10月之后，大量的P2P網(wǎng)站都遭遇了攻擊，攻擊形式是黑客以天量訪問導(dǎo)致網(wǎng)站塞車，從而網(wǎng)頁難以訪問，人人貸等一些知名度非常高的平臺(tái)也受到了攻擊，今年網(wǎng)貸第三方網(wǎng)貸之家也遭遇攻擊。

　　“這么做的原因可能是敲詐，比如說一直讓你的網(wǎng)站不能訪問，這個(gè)時(shí)候黑客通知你打錢在他賬上。”網(wǎng)貸之家首席運(yùn)營官石鵬峰告訴第一財(cái)經(jīng)日?qǐng)?bào)《財(cái)商》(微信號(hào)：caishang02).

　　除了敲詐錢財(cái)之外，還有一種遭到攻擊的情況是同行的惡性競(jìng)爭。

　　“其實(shí)僅僅是網(wǎng)頁遭到攻擊，而數(shù)據(jù)庫沒有受到影響的話，并不可怕。”團(tuán)貸網(wǎng)CEO唐軍告訴記者。

　　的確，這么做從表面上看并不會(huì)對(duì)投資人的資金造成影響，但是實(shí)際的情況是，已經(jīng)有過好幾次因?yàn)楸还舳斐删W(wǎng)站倒閉的情況了。

　　“一些小的平臺(tái)，一旦被攻擊，就切斷了網(wǎng)站和用戶之間的紐帶，用戶登錄不了，自然非常著急，明明對(duì)網(wǎng)站的信心就不足，只是沖著高收益去的，在遇到不能登錄，用戶就迅速撤資了。P2P一旦發(fā)生擠兌，資金鏈就斷裂了。”

　　去年的網(wǎng)贏天下、及時(shí)雨等P2P平臺(tái)發(fā)生倒閉的事件都是在被黑客攻擊之后若干天網(wǎng)站倒閉。石鵬峰對(duì)這種巧合的解釋是，正是由于之前的供給導(dǎo)致原本對(duì)網(wǎng)站信心不足的投資客迅速撤資，網(wǎng)站遭到擠兌而倒下。

　　風(fēng)險(xiǎn)二：賬戶被盜取資金被提走

　　P2P賬戶被盜取可能意味真金白銀的損失，其中一個(gè)關(guān)鍵環(huán)節(jié)就是賬戶中的資金被提走。

　　但是問題在于，錢是如何被提走的？多數(shù)P2P網(wǎng)站一般都有“同一賬戶”原則，就是說，用戶提現(xiàn)的銀行卡必須是本人的銀行卡。

　　那么第一財(cái)經(jīng)日?qǐng)?bào)《財(cái)商》提醒你，即便這樣，也并非說你的錢不會(huì)被別人提走。

　　曾經(jīng)發(fā)生過一起典型的案例，就是黑客入侵到平臺(tái)數(shù)據(jù)庫中，盜取了投資人的身份證圖片(P2P實(shí)名認(rèn)證時(shí)都需要上傳身份證正反面圖片)，然后把此圖片打印出來，再做身份證復(fù)印件，到銀行開戶。這時(shí)黑客就擁有了一張用投資人個(gè)人信息開戶的銀行卡，而這張銀行卡其實(shí)是被作案人掌控的。他再將這張卡添加到投資人的P2P賬戶中，就可以直接用這張卡提現(xiàn)了。

　　當(dāng)然在這個(gè)環(huán)節(jié)中一些銀行的失職最終導(dǎo)致風(fēng)險(xiǎn)出現(xiàn)。不過作為P2P平臺(tái)是不可能去杜絕銀行可能的漏洞的，它們只能想其他的辦法保證用戶信息安全。

　　“現(xiàn)在幾乎所有的平臺(tái)的實(shí)名驗(yàn)證環(huán)節(jié)都要求上傳身份證圖片，建議所有投資人上傳身份證時(shí)候，務(wù)必在上面打上水印，注明‘此身份信息只供網(wǎng)貸開戶使用’。”石鵬峰告訴第一財(cái)經(jīng)日?qǐng)?bào)《財(cái)商》記者。

　　大多數(shù)P2P平臺(tái)近年也有了2.0的提現(xiàn)條款，多數(shù)P2P平臺(tái)都不允許投資人更改提現(xiàn)賬戶信息，如果一定要更改，就必須聯(lián)絡(luò)客服來更改。

　　但是，這種情況下依然沒能擋住漏洞。在近期發(fā)生的事件中，一名成都的作案人用假冒身份信息辦理和投資人同名銀行卡，此后，又通過視頻驗(yàn)證(視頻驗(yàn)證指客服通過視頻與投資人照片對(duì)比驗(yàn)證申請(qǐng)人是否投資人本人)要求網(wǎng)站更改信息。由于“長相類似”，最終作案人瞞天過海，將投資人的提現(xiàn)賬戶更改成自己辦理的提現(xiàn)賬戶。

　　“所以，用視頻驗(yàn)證并不靠譜，因?yàn)樯矸葑C照片本來就很難辨認(rèn)，就算視頻也很難百分百保證是本人。更好的方式是用預(yù)留手機(jī)號(hào)進(jìn)行驗(yàn)證，每筆交易發(fā)送驗(yàn)證碼給投資人，畢竟平臺(tái)信息和個(gè)人手機(jī)同時(shí)被盜取的可能性比較小。”唐軍告訴第一財(cái)經(jīng)日?qǐng)?bào)《財(cái)商》(微信號(hào)：caishang02).

　　而陸金所則告訴記者，他們使用打款賬戶和提現(xiàn)賬戶必須是同一銀行賬戶的方法來保持用戶資金安全。

　　風(fēng)險(xiǎn)三：個(gè)人隱私被盜取

　　這說明小黑之前在P2P上注冊(cè)的信息被黑客盜取了。

　　網(wǎng)絡(luò)早已讓個(gè)人變得沒有隱私，而P2P則幾乎讓投資人變成透明了。要投資P2P，首先要經(jīng)過繁瑣的認(rèn)證，不僅僅是你的姓名、地址、工作單位，你的身份證號(hào)、手機(jī)號(hào)、私人郵箱等都會(huì)被暴露。如果你還要從P2P平臺(tái)上借款，那么你將被驗(yàn)證更多個(gè)人信息，投資人幾乎將自己的全部隱私交給了P2P平臺(tái)。

　　一旦這家平臺(tái)沒有盡職盡責(zé)地幫你保守秘密，你的信息就會(huì)落入他人手中。

　　“當(dāng)然，現(xiàn)在大多數(shù)平臺(tái)在存儲(chǔ)信息的過程中都會(huì)加密，比如姓名、身份證號(hào)等都不會(huì)全段顯示，比如你叫章小紅，顯示出來就是章*紅。”石鵬峰告訴第一財(cái)經(jīng)日?qǐng)?bào)《財(cái)商》。

　　而平臺(tái)是否做了加密處理，投資人自己是可以判斷的。

　　“最好的辨認(rèn)方式是你登錄自己的賬戶，看看姓名、身份證號(hào)等信息是否一覽無余，還是已經(jīng)‘打碼’。如果是一覽無余，說明網(wǎng)站并沒有做加密處理，那么被盜取的可能性較大。如果是已經(jīng)打碼，被盜取的可能性就更小一些。”唐軍告訴第一財(cái)經(jīng)日?qǐng)?bào)《財(cái)商》。

　　更嚴(yán)重的情況是不僅僅提取個(gè)人信息，甚至侵入了網(wǎng)站的數(shù)據(jù)庫。

　　“數(shù)據(jù)庫被盜取對(duì)網(wǎng)站來說是最大的問題，一個(gè)平臺(tái)所有的核心數(shù)據(jù)、投標(biāo)記錄、充值記錄都在數(shù)據(jù)庫中?？梢韵胍姡绻粋€(gè)平臺(tái)的后臺(tái)數(shù)據(jù)被格式化，那么平臺(tái)根本不知道誰投了標(biāo)，投給了誰。”唐軍告訴第一財(cái)經(jīng)日?qǐng)?bào)《財(cái)商》(微信號(hào)：caishang02).

　　盡管資金走賬都通過第三方或者銀行，按理來說即便網(wǎng)站沒有留下數(shù)據(jù)，銀行也會(huì)留存打款記錄?？墒沁@還遠(yuǎn)遠(yuǎn)不夠。

　　“如果數(shù)據(jù)庫被格式化，要找銀行要記錄，必須通過相關(guān)部門許可，流程非常繁瑣；另外，一些人的賬戶并非是自己充值，而是給親戚朋友充值，這種情況怎么查；再有，就算是能夠查到打款記錄，沒有投標(biāo)記錄，你怎么知道投給了誰。”唐軍表示。

　　因而，一些技術(shù)實(shí)力較強(qiáng)的平臺(tái)都做了異地備份，比如一家在上海的平臺(tái)，它可以在廣州建立機(jī)房備份數(shù)據(jù)。這樣就算是上海的機(jī)房遭到攻擊，在廣州的機(jī)房也一樣有備份。

　　另外，投資人最好是將自己的投資記錄和充值記錄截屏，這樣留有證據(jù)，如果出現(xiàn)類似問題可以有助于提供證據(jù)。