風險一：網站被攻擊投資人聞風而散

　　去年10月之后，大量的P2P網站都遭遇了攻擊，攻擊形式是黑客以天量訪問導致網站塞車，從而網頁難以訪問，人人貸等一些知名度非常高的平臺也受到了攻擊，今年網貸第三方網貸之家也遭遇攻擊。

　　“這么做的原因可能是敲詐，比如說一直讓你的網站不能訪問，這個時候黑客通知你打錢在他賬上。”網貸之家首席運營官石鵬峰告訴第一財經日報《財商》(微信號：caishang02).

　　除了敲詐錢財之外，還有一種遭到攻擊的情況是同行的惡性競爭。

　　“其實僅僅是網頁遭到攻擊，而數(shù)據(jù)庫沒有受到影響的話，并不可怕。”團貸網CEO唐軍告訴記者。

　　的確，這么做從表面上看并不會對投資人的資金造成影響，但是實際的情況是，已經有過好幾次因為被攻擊而造成網站倒閉的情況了。

　　“一些小的平臺，一旦被攻擊，就切斷了網站和用戶之間的紐帶，用戶登錄不了，自然非常著急，明明對網站的信心就不足，只是沖著高收益去的，在遇到不能登錄，用戶就迅速撤資了。P2P一旦發(fā)生擠兌，資金鏈就斷裂了。”

　　去年的網贏天下、及時雨等P2P平臺發(fā)生倒閉的事件都是在被黑客攻擊之后若干天網站倒閉。石鵬峰對這種巧合的解釋是，正是由于之前的供給導致原本對網站信心不足的投資客迅速撤資，網站遭到擠兌而倒下。

　　風險二：賬戶被盜取資金被提走

　　P2P賬戶被盜取可能意味真金白銀的損失，其中一個關鍵環(huán)節(jié)就是賬戶中的資金被提走。

　　但是問題在于，錢是如何被提走的？多數(shù)P2P網站一般都有“同一賬戶”原則，就是說，用戶提現(xiàn)的銀行卡必須是本人的銀行卡。

　　那么第一財經日報《財商》提醒你，即便這樣，也并非說你的錢不會被別人提走。

　　曾經發(fā)生過一起典型的案例，就是黑客入侵到平臺數(shù)據(jù)庫中，盜取了投資人的身份證圖片(P2P實名認證時都需要上傳身份證正反面圖片)，然后把此圖片打印出來，再做身份證復印件，到銀行開戶。這時黑客就擁有了一張用投資人個人信息開戶的銀行卡，而這張銀行卡其實是被作案人掌控的。他再將這張卡添加到投資人的P2P賬戶中，就可以直接用這張卡提現(xiàn)了。

　　當然在這個環(huán)節(jié)中一些銀行的失職最終導致風險出現(xiàn)。不過作為P2P平臺是不可能去杜絕銀行可能的漏洞的，它們只能想其他的辦法保證用戶信息安全。

　　“現(xiàn)在幾乎所有的平臺的實名驗證環(huán)節(jié)都要求上傳身份證圖片，建議所有投資人上傳身份證時候，務必在上面打上水印，注明‘此身份信息只供網貸開戶使用’。”石鵬峰告訴第一財經日報《財商》記者。

　　大多數(shù)P2P平臺近年也有了2.0的提現(xiàn)條款，多數(shù)P2P平臺都不允許投資人更改提現(xiàn)賬戶信息，如果一定要更改，就必須聯(lián)絡客服來更改。

　　但是，這種情況下依然沒能擋住漏洞。在近期發(fā)生的事件中，一名成都的作案人用假冒身份信息辦理和投資人同名銀行卡，此后，又通過視頻驗證(視頻驗證指客服通過視頻與投資人照片對比驗證申請人是否投資人本人)要求網站更改信息。由于“長相類似”，最終作案人瞞天過海，將投資人的提現(xiàn)賬戶更改成自己辦理的提現(xiàn)賬戶。

　　“所以，用視頻驗證并不靠譜，因為身份證照片本來就很難辨認，就算視頻也很難百分百保證是本人。更好的方式是用預留手機號進行驗證，每筆交易發(fā)送驗證碼給投資人，畢竟平臺信息和個人手機同時被盜取的可能性比較小。”唐軍告訴第一財經日報《財商》(微信號：caishang02).

　　而陸金所則告訴記者，他們使用打款賬戶和提現(xiàn)賬戶必須是同一銀行賬戶的方法來保持用戶資金安全。

　　風險三：個人隱私被盜取

　　這說明小黑之前在P2P上注冊的信息被黑客盜取了。

　　網絡早已讓個人變得沒有隱私，而P2P則幾乎讓投資人變成透明了。要投資P2P，首先要經過繁瑣的認證，不僅僅是你的姓名、地址、工作單位，你的身份證號、手機號、私人郵箱等都會被暴露。如果你還要從P2P平臺上借款，那么你將被驗證更多個人信息，投資人幾乎將自己的全部隱私交給了P2P平臺。

　　一旦這家平臺沒有盡職盡責地幫你保守秘密，你的信息就會落入他人手中。

　　“當然，現(xiàn)在大多數(shù)平臺在存儲信息的過程中都會加密，比如姓名、身份證號等都不會全段顯示，比如你叫章小紅，顯示出來就是章*紅。”石鵬峰告訴第一財經日報《財商》。

　　而平臺是否做了加密處理，投資人自己是可以判斷的。

　　“最好的辨認方式是你登錄自己的賬戶，看看姓名、身份證號等信息是否一覽無余，還是已經‘打碼’。如果是一覽無余，說明網站并沒有做加密處理，那么被盜取的可能性較大。如果是已經打碼，被盜取的可能性就更小一些。”唐軍告訴第一財經日報《財商》。

　　更嚴重的情況是不僅僅提取個人信息，甚至侵入了網站的數(shù)據(jù)庫。

　　“數(shù)據(jù)庫被盜取對網站來說是最大的問題，一個平臺所有的核心數(shù)據(jù)、投標記錄、充值記錄都在數(shù)據(jù)庫中?？梢韵胍?，如果一個平臺的后臺數(shù)據(jù)被格式化，那么平臺根本不知道誰投了標，投給了誰。”唐軍告訴第一財經日報《財商》(微信號：caishang02).

　　盡管資金走賬都通過第三方或者銀行，按理來說即便網站沒有留下數(shù)據(jù)，銀行也會留存打款記錄?？墒沁@還遠遠不夠。

　　“如果數(shù)據(jù)庫被格式化，要找銀行要記錄，必須通過相關部門許可，流程非常繁瑣；另外，一些人的賬戶并非是自己充值，而是給親戚朋友充值，這種情況怎么查；再有，就算是能夠查到打款記錄，沒有投標記錄，你怎么知道投給了誰。”唐軍表示。

　　因而，一些技術實力較強的平臺都做了異地備份，比如一家在上海的平臺，它可以在廣州建立機房備份數(shù)據(jù)。這樣就算是上海的機房遭到攻擊，在廣州的機房也一樣有備份。

　　另外，投資人最好是將自己的投資記錄和充值記錄截屏，這樣留有證據(jù)，如果出現(xiàn)類似問題可以有助于提供證據(jù)。