金融互聯(lián)網(wǎng)化的B面：太保新華等險企頻曝漏洞，千萬客戶信息恐遭泄漏

記者日前在采訪中了解到，近兩個月時間內(nèi)，包括太平洋保險公司、中華保險公司、新華保險、吉祥人壽等在內(nèi)的保險公司頻被曝出漏洞，千萬客戶的信息面臨泄漏風(fēng)險。

信誠人壽保險“中招”

數(shù)十個服務(wù)器面臨被“攻陷”

記者在補(bǔ)天漏洞相應(yīng)平臺上發(fā)現(xiàn)了白帽子(網(wǎng)絡(luò)安全術(shù)語，指可以識別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中安全漏洞的人，但這類人不會惡意利用漏洞，而是發(fā)布漏洞信息，幫助當(dāng)事方及時修復(fù)漏洞)提交的編號為“QTVA-2015-262526”信誠人壽保險漏洞信息，提交信息的白帽子被獎勵1000元，這幾乎是近期單筆最大的獎勵，原因是“漏洞太多，信息泄漏風(fēng)險很大”。按照白帽子提交的監(jiān)測報告顯示，信誠人壽保險公司面臨泄漏數(shù)以萬計(jì)的客戶銀行卡號、密碼、開戶行地址、身份證等敏感信息的風(fēng)險。

值得注意的是，除客戶信息存在嚴(yán)重泄露風(fēng)險外，涉及公司內(nèi)部的私密信息也“中招”。根據(jù)提交的漏洞信息顯示，信誠人壽保險公司與其他一些大型保險公司數(shù)以億計(jì)的發(fā)生金額、開戶公司、開戶行地址一目了然，內(nèi)部業(yè)務(wù)人員的賬號密碼也遭破解，包括了從直銷市場總監(jiān)、運(yùn)營主管到直銷柜員等多個層級的賬號密碼。更為嚴(yán)重的是，該保險公司竟然存在管理員賬號通用情況，數(shù)十個服務(wù)器幾乎成為不設(shè)防的“裸機(jī)”。

而這僅是冰山一角。記者查詢補(bǔ)天漏洞響應(yīng)平臺發(fā)現(xiàn)，從6月份起，超過20多家從事保險業(yè)務(wù)的公司被白帽子曝出40多個漏洞，既有太平洋保險公司、中華保險公司、新華保險、吉祥人壽等大型保險公司，同時也有一些中小保險公司。

信息安全形勢不容樂觀

中小保險公司修復(fù)不及時

家住河北石家莊的王先生告訴記者，前段時間他接到電話，來電顯示為某保險公司客戶服務(wù)電話。接通后，對方自稱是保險公司的業(yè)務(wù)人員，說出了王先生的姓名和車輛信息，并告知王先生因車子剮蹭受損，現(xiàn)已通過理賠審核，需支付賠付金，但要說出銀行賬戶進(jìn)行核對，以便準(zhǔn)確打款。

因有些疑慮，王先生并未按照要求告知其銀行賬號，而是向保險公司進(jìn)行了電話查詢，結(jié)果發(fā)現(xiàn)果然是騙子。令王先生奇怪的是，自己的車子確實(shí)剮蹭并在幾天前向保險公司報案并進(jìn)入理賠程序。“他不僅知道我的車輛型號、車牌號、姓名、電話、證件號等個人信息，甚至連事故發(fā)生的時間、地點(diǎn)等詳細(xì)信息都知道，我想知道這些理應(yīng)非常隱私的信息怎么會泄露出去呢？”王先生憤慨地說。

“保險公司數(shù)據(jù)庫中，涉及到投保人的包括姓名、工作、個人收入、親屬關(guān)系、家庭收入、健康等大量敏感信息，這些信息被數(shù)據(jù)販子以每條1至5元錢的價格倒賣，因此也成為一些不法分子網(wǎng)絡(luò)攻擊的重點(diǎn)。”一位業(yè)內(nèi)專家對《經(jīng)濟(jì)參考報》記者說。

記者查閱補(bǔ)天平臺數(shù)據(jù)顯示，太平洋保險河南省某系統(tǒng)存在漏洞，可導(dǎo)致500萬保單信息，數(shù)百萬投保人等信息泄露；中國平安(81.65,-0.92,-1.11%)(82.57, 3.32, 4.19%)五套保險系統(tǒng)存在漏洞，可導(dǎo)致泄露大量投保人信息、保單信息，甚至黑客可通過漏洞對保單進(jìn)行撤保操作；華泰保險出現(xiàn)某漏洞，可導(dǎo)致全部員工信息、20萬燃?xì)獬渲悼ǖ让舾行畔⑿孤?；泰山保險某系統(tǒng)的漏洞、中華保險某漏洞均可能造成數(shù)百萬客戶、詳細(xì)保單信息泄漏。

“有的公司竟然一個月被發(fā)現(xiàn)6次漏洞，信息安全形勢不容樂觀。從目前白帽子提交的證據(jù)看，漏洞可能導(dǎo)致上千萬客戶信息面臨泄漏風(fēng)險。”補(bǔ)天平臺負(fù)責(zé)人對《經(jīng)濟(jì)參考報》記者說，大型保險公司的安全響應(yīng)機(jī)制相對完善，漏洞提交后會進(jìn)行一些積極修復(fù)，但不少中小保險公司在發(fā)現(xiàn)后卻遲遲未修復(fù)，基本上放任風(fēng)險發(fā)酵。

險企須對公眾信息保護(hù)擔(dān)責(zé)

“出現(xiàn)漏洞的原因基本上可歸結(jié)為三類：一個是籬笆墻原本扎得不夠牢；一個是懶得去扎籬笆；三是籬笆墻漏了好長時間都不知道。” 360安全專家介紹稱，互聯(lián)網(wǎng)金融興起后，一些網(wǎng)絡(luò)管理人員水平?jīng)]有跟上，更多的是由于安全意識不夠。從信誠人壽保險內(nèi)部人員的賬號密碼面臨泄漏來看，他們十多個人員初始密碼沒有修改，也就是存在弱口令情況，這屬于“懶得扎籬笆”，如果修改初始密碼，黑客恐難以突破。

報告顯示，2014年，互聯(lián)網(wǎng)保險業(yè)務(wù)規(guī)模繼續(xù)大幅增長，當(dāng)年保費(fèi)收入858.9億元，同比增長195%。與此同時，互聯(lián)網(wǎng)渠道業(yè)務(wù)占總保費(fèi)收入的比例達(dá)到4.2%，成為拉動保費(fèi)增長的重要因素之一。伴隨互聯(lián)網(wǎng)業(yè)務(wù)的不斷擴(kuò)大，信息安全也成為眾多險企頭上的一道“緊箍咒”。此前，河北保監(jiān)局就曾在下發(fā)給各保險公司、保險中介機(jī)構(gòu)的文件中對信息安全進(jìn)行過風(fēng)險提示。

國家信息技術(shù)安全研究中心專家曹岳在接受《經(jīng)濟(jì)參考報》記者采訪時表示，由于平臺本身交易量巨大、往來客戶數(shù)量多，對試圖非法獲取客戶敏感信息的不法分子來說，一旦成功，其獲益是巨大的。由此，像保險企業(yè)這樣涉及大量客戶個人信息和商業(yè)機(jī)構(gòu)信息存儲的企業(yè)，須對公眾信息保護(hù)承擔(dān)義務(wù)，更應(yīng)加強(qiáng)信息安全構(gòu)建，防止公眾的合法權(quán)益受到侵害。

中消協(xié)相關(guān)負(fù)責(zé)人表示，消費(fèi)者應(yīng)增強(qiáng)個人隱私的保護(hù)意識，包括及時更換密碼，不要親信一些電話、短信關(guān)于保險方面的詐騙。若保單信息遭到嚴(yán)重泄露，且造成后果，消費(fèi)者可直接起訴相關(guān)保險公司，以維護(hù)自身合法權(quán)益。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。