原标题：这家P2P平台真“牛”！投资1元，每日可撸12元

网贷达人个人交流微信：p2pjia，有兴趣的朋友也可以互相交流学习哦！

导读：对于投资人来说，除了担心隐私信息被泄露外，账户安全更让他们操心。

本文提到的2个案例，都发生在同一家互联网金融平台，投资人也因此对该平台的技术与内部管理提出了严重质疑。看来，一个靠谱的平台，必须要有一个靠谱的技术团队。

案例一：4万余元深夜被提走，全程未经本人确认

一天晚上10点左右，杨先生被无数的短信和不间断的电话轰炸。11点多，他收到了这样的短信：亲爱的用户，您已成功提现40240元，如非本人操作，请致电400……

短信正是来自于他所投资的上海某互联网金融平台(下称：C平台)。

杨先生预感不妙，立刻打开了这家平台的APP，但他发现登录不上了，提示密码不对。于是，他赶紧通过手机号找回密码功能，重置了密码。

然而，登录之后，他慌了：钱没了，4万余额全部被提走!连账户名、绑定的银行卡，都变成别人的了。

杨先生想到，致电该平台客服，让平台帮忙立刻冻结账户。然而，电话里语音提示，此时非上班时间，让其在上班时间再致电咨询。

“此刻心里只有绝望二字，躺地等死。”杨先生用“绝望”形容他当时的心情。而当他再次登录C平台APP时，发现账户剩余的1000多元，也不见了。

杨先生发现，从交易记录看，4万多块钱，3秒钟就到了对方账户。当他想通过拦截对方的银行账户时，发现只能看到尾号是1535的招商银行卡。

万般无奈之下，他只好选择了报警。

回顾整个过程：从帐号被异地登录，再到登录密码、支付密码、绑定的银行卡被修改，全部过程都没有经过用户本人确认，并且杨先生并未收到过这一系列操作的短信验证码。

值得一提的是，这并非个例。

当时，也有其他用户反馈遇到了类似情况：莫名奇妙就收到短信，提示说已提现。登陆后，发现登陆账户名、银行卡号都被改成了别人的了。客服电话一直打不通……

据悉，后来C平台对部分用户进行了赔付。

国内某家网络安全公司人员认为，一般而言，P2P平台都是同卡进出，显然不会出现账户被绑定成别人的银行卡。

不过，如果是投资者的信息被泄露，骗子(黑客)拿到用户的所有信息，加上平台自身的业务逻辑也有缺陷，那么，投资者的信息可能就会被篡改。

他进一步表示，黑客可以利用漏洞，在发送验证码时，对发送数据包进行修改，将原来绑定的手机号码，修改为攻击者(黑客)自己的手机号码，从而实现一系列篡改，包括修改账户、登录密码、银行卡绑定等操作。

杨先生指出，他的手机没有越狱、软件是在AppStore里下载的，除自己的手机，账户并未在别的地方登录过，并且，除了自家的WIFI，从不连接公共WIFI。

因此，他认为从手机上盗取密码的可能性为零，那么，还剩两种可能：

一、C平台内外勾结，有内部人员提供了名单。

二、C平台已被黑客攻击，用户档案已全部被提取。

他认为，无论哪种可能，都说明C平台的密码是明文传输和保存的，“作为一个金融产品，密码不加密真是震惊，而由此也可对C平台系统的设计水准窥见一斑。”

案例二：投资1元，每日可撸12元？

另一个“奇葩故事”也发生在C平台。

据悉，一位投资者此前投资了C平台，他的账户里还有几分钱不能提现，就一直放着。有一天，他突然发现账户里的收益增加了几十元。

于是，他把所有的余额，都提了出来。“一分钱都不剩。结果，平台就没有给我收益了。”

后来，他又试着充值了1块钱，结果，C平台按照5万元本金给他计息。当时，该平台的年化收益是8.88%，5万本金一天的收益约为12元。

也就是说，投资1元，一天的收益是12元。若照此计算，一年收益可达4380倍。而出了这样的漏洞，投资者始终并未接到C平台前来咨询或回访的电话。

C平台的这一漏洞在投资人圈里小范围传开后，当时不少人将信将疑，纷纷去试了试。有网友还在第三方论坛发帖问：XX平台出现了一个大bug，发现都没人说。

“这种漏洞我们也遇到过。”一位网络安全庄家表示，帮过很多公司做安全测试，遇到过五花八门、各种各样的漏洞。“更有甚者，账户是负数，还能提现。”

他透露称，还有更厉害的，“直接后台数据库权限全部拿到，也就是说你账户的余额可以随便改，给你改个千八百万的，提出来就可以退休了。有的平台就是这么被搞死的。”

还有一些黑客更高明：毕竟一下提走太多钱，目标太大，于是，他们就从众多账户上几分几毛的，慢慢都转到自己卡上，就像蚂蚁搬家。

“一般人都不会注意到自己账户少了几分几毛吧，但是量大了就厉害了，而且可以长期潜伏。”

值得一提的是，遇到上述情况的公司往往只能吃哑巴亏。

“攻击者在境外的话，上哪抓去？况且本身互联网就是匿名的，追查起来相当难。不少公司安全建设不到位，都是不见棺材不掉泪。所以，不重视安全，自己把自己玩死的有的是。”资深人士称。

据了解，网贷平台的技术安全漏洞一般有SQL注入漏洞、XSS跨站脚本攻击、手机短信验证缺陷、登录功能缺陷、CSRF跨站点请求伪造漏洞、业务设计缺陷、权限绕过、敏感信息泄漏、弱口令等。

其中，信息泄露、业务欺诈是网贷平台最为关注的风险。平台的投入不足、人员缺乏、安全意识薄弱、制度流程不规范、安全需求不明确都是导致安全问题的因素。

而对于网贷平台技术漏洞风险主要有账户被盗取、个人隐私被曝光及平台数据库遭篡改等风险。

对此，监管层也对平台这方面提出了要求。

根据《网络借贷信息中介机构业务活动管理暂行办法》，网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试。

要具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度，建立信息科技管理、科技风险管理和科技审计有关制度，配置充足的资源，采取完善的管理控制措施和技术手段保障信息系统安全稳健运行，保护出借人与借款人的信息安全。

第31条明确规定：“应当聘请有资质的信息安全测评认证机构定期对信息安全实施测评认证，向出借人与借款人等披露审计和测评认证结果。”

但也有很多公司是在糊弄。比如监管要求定期做安全测试、漏洞检测，他们就只是花钱买个报告，并不是真正的去做这件事情。

目前，大多数网贷平台一般将外部网络技术安全认证置于平台首页底部，其余较为重要的认证则较多披露在网站资质证明板块。

较为常见的几种认证为，国家信息系统安全等级保护三级、ISO27001、企业信用评级证书、可信网站、互联网金融行业认证、SSL等。

其中,尤以信息系统安全等级保护备案最具公信力及效力。

P2P作为金融信息服务行业，首先要做好风险防控，而平台安全建设，就是风险防控不可忽视的一环，必须要重视！

来源：综合自网贷之家、经济参考网、第一财经网