記者日前在采訪中了解到，近兩個(gè)月時(shí)間內(nèi)，包括太平洋保險(xiǎn)公司、中華保險(xiǎn)公司、新華保險(xiǎn)、吉祥人壽等在內(nèi)的保險(xiǎn)公司頻被曝出漏洞，千萬(wàn)客戶的信息面臨泄漏風(fēng)險(xiǎn)。

信誠(chéng)人壽保險(xiǎn)“中招”

數(shù)十個(gè)服務(wù)器面臨被“攻陷”

記者在補(bǔ)天漏洞相應(yīng)平臺(tái)上發(fā)現(xiàn)了白帽子(網(wǎng)絡(luò)安全術(shù)語(yǔ)，指可以識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中安全漏洞的人，但這類人不會(huì)惡意利用漏洞，而是發(fā)布漏洞信息，幫助當(dāng)事方及時(shí)修復(fù)漏洞)提交的編號(hào)為“QTVA-2015-262526”信誠(chéng)人壽保險(xiǎn)漏洞信息，提交信息的白帽子被獎(jiǎng)勵(lì)1000元，這幾乎是近期單筆最大的獎(jiǎng)勵(lì)，原因是“漏洞太多，信息泄漏風(fēng)險(xiǎn)很大”。按照白帽子提交的監(jiān)測(cè)報(bào)告顯示，信誠(chéng)人壽保險(xiǎn)公司面臨泄漏數(shù)以萬(wàn)計(jì)的客戶銀行卡號(hào)、密碼、開(kāi)戶行地址、身份證等敏感信息的風(fēng)險(xiǎn)。

值得注意的是，除客戶信息存在嚴(yán)重泄露風(fēng)險(xiǎn)外，涉及公司內(nèi)部的私密信息也“中招”。根據(jù)提交的漏洞信息顯示，信誠(chéng)人壽保險(xiǎn)公司與其他一些大型保險(xiǎn)公司數(shù)以億計(jì)的發(fā)生金額、開(kāi)戶公司、開(kāi)戶行地址一目了然，內(nèi)部業(yè)務(wù)人員的賬號(hào)密碼也遭破解，包括了從直銷市場(chǎng)總監(jiān)、運(yùn)營(yíng)主管到直銷柜員等多個(gè)層級(jí)的賬號(hào)密碼。更為嚴(yán)重的是，該保險(xiǎn)公司竟然存在管理員賬號(hào)通用情況，數(shù)十個(gè)服務(wù)器幾乎成為不設(shè)防的“裸機(jī)”。

而這僅是冰山一角。記者查詢補(bǔ)天漏洞響應(yīng)平臺(tái)發(fā)現(xiàn)，從6月份起，超過(guò)20多家從事保險(xiǎn)業(yè)務(wù)的公司被白帽子曝出40多個(gè)漏洞，既有太平洋保險(xiǎn)公司、中華保險(xiǎn)公司、新華保險(xiǎn)、吉祥人壽等大型保險(xiǎn)公司，同時(shí)也有一些中小保險(xiǎn)公司。

信息安全形勢(shì)不容樂(lè)觀

中小保險(xiǎn)公司修復(fù)不及時(shí)

家住河北石家莊的王先生告訴記者，前段時(shí)間他接到電話，來(lái)電顯示為某保險(xiǎn)公司客戶服務(wù)電話。接通后，對(duì)方自稱是保險(xiǎn)公司的業(yè)務(wù)人員，說(shuō)出了王先生的姓名和車輛信息，并告知王先生因車子剮蹭受損，現(xiàn)已通過(guò)理賠審核，需支付賠付金，但要說(shuō)出銀行賬戶進(jìn)行核對(duì)，以便準(zhǔn)確打款。

因有些疑慮，王先生并未按照要求告知其銀行賬號(hào)，而是向保險(xiǎn)公司進(jìn)行了電話查詢，結(jié)果發(fā)現(xiàn)果然是騙子。令王先生奇怪的是，自己的車子確實(shí)剮蹭并在幾天前向保險(xiǎn)公司報(bào)案并進(jìn)入理賠程序。“他不僅知道我的車輛型號(hào)、車牌號(hào)、姓名、電話、證件號(hào)等個(gè)人信息，甚至連事故發(fā)生的時(shí)間、地點(diǎn)等詳細(xì)信息都知道，我想知道這些理應(yīng)非常隱私的信息怎么會(huì)泄露出去呢？”王先生憤慨地說(shuō)。

“保險(xiǎn)公司數(shù)據(jù)庫(kù)中，涉及到投保人的包括姓名、工作、個(gè)人收入、親屬關(guān)系、家庭收入、健康等大量敏感信息，這些信息被數(shù)據(jù)販子以每條1至5元錢(qián)的價(jià)格倒賣(mài)，因此也成為一些不法分子網(wǎng)絡(luò)攻擊的重點(diǎn)。”一位業(yè)內(nèi)專家對(duì)《經(jīng)濟(jì)參考報(bào)》記者說(shuō)。

記者查閱補(bǔ)天平臺(tái)數(shù)據(jù)顯示，太平洋保險(xiǎn)河南省某系統(tǒng)存在漏洞，可導(dǎo)致500萬(wàn)保單信息，數(shù)百萬(wàn)投保人等信息泄露；中國(guó)平安(81.65,-0.92,-1.11%)(82.57, 3.32, 4.19%)五套保險(xiǎn)系統(tǒng)存在漏洞，可導(dǎo)致泄露大量投保人信息、保單信息，甚至黑客可通過(guò)漏洞對(duì)保單進(jìn)行撤保操作；華泰保險(xiǎn)出現(xiàn)某漏洞，可導(dǎo)致全部員工信息、20萬(wàn)燃?xì)獬渲悼ǖ让舾行畔⑿孤?；泰山保險(xiǎn)某系統(tǒng)的漏洞、中華保險(xiǎn)某漏洞均可能造成數(shù)百萬(wàn)客戶、詳細(xì)保單信息泄漏。

“有的公司竟然一個(gè)月被發(fā)現(xiàn)6次漏洞，信息安全形勢(shì)不容樂(lè)觀。從目前白帽子提交的證據(jù)看，漏洞可能導(dǎo)致上千萬(wàn)客戶信息面臨泄漏風(fēng)險(xiǎn)。”補(bǔ)天平臺(tái)負(fù)責(zé)人對(duì)《經(jīng)濟(jì)參考報(bào)》記者說(shuō)，大型保險(xiǎn)公司的安全響應(yīng)機(jī)制相對(duì)完善，漏洞提交后會(huì)進(jìn)行一些積極修復(fù)，但不少中小保險(xiǎn)公司在發(fā)現(xiàn)后卻遲遲未修復(fù)，基本上放任風(fēng)險(xiǎn)發(fā)酵。

險(xiǎn)企須對(duì)公眾信息保護(hù)擔(dān)責(zé)

“出現(xiàn)漏洞的原因基本上可歸結(jié)為三類：一個(gè)是籬笆墻原本扎得不夠牢；一個(gè)是懶得去扎籬笆；三是籬笆墻漏了好長(zhǎng)時(shí)間都不知道。” 360安全專家介紹稱，互聯(lián)網(wǎng)金融興起后，一些網(wǎng)絡(luò)管理人員水平?jīng)]有跟上，更多的是由于安全意識(shí)不夠。從信誠(chéng)人壽保險(xiǎn)內(nèi)部人員的賬號(hào)密碼面臨泄漏來(lái)看，他們十多個(gè)人員初始密碼沒(méi)有修改，也就是存在弱口令情況，這屬于“懶得扎籬笆”，如果修改初始密碼，黑客恐難以突破。

報(bào)告顯示，2014年，互聯(lián)網(wǎng)保險(xiǎn)業(yè)務(wù)規(guī)模繼續(xù)大幅增長(zhǎng)，當(dāng)年保費(fèi)收入858.9億元，同比增長(zhǎng)195%。與此同時(shí)，互聯(lián)網(wǎng)渠道業(yè)務(wù)占總保費(fèi)收入的比例達(dá)到4.2%，成為拉動(dòng)保費(fèi)增長(zhǎng)的重要因素之一。伴隨互聯(lián)網(wǎng)業(yè)務(wù)的不斷擴(kuò)大，信息安全也成為眾多險(xiǎn)企頭上的一道“緊箍咒”。此前，河北保監(jiān)局就曾在下發(fā)給各保險(xiǎn)公司、保險(xiǎn)中介機(jī)構(gòu)的文件中對(duì)信息安全進(jìn)行過(guò)風(fēng)險(xiǎn)提示。

國(guó)家信息技術(shù)安全研究中心專家曹岳在接受《經(jīng)濟(jì)參考報(bào)》記者采訪時(shí)表示，由于平臺(tái)本身交易量巨大、往來(lái)客戶數(shù)量多，對(duì)試圖非法獲取客戶敏感信息的不法分子來(lái)說(shuō)，一旦成功，其獲益是巨大的。由此，像保險(xiǎn)企業(yè)這樣涉及大量客戶個(gè)人信息和商業(yè)機(jī)構(gòu)信息存儲(chǔ)的企業(yè)，須對(duì)公眾信息保護(hù)承擔(dān)義務(wù)，更應(yīng)加強(qiáng)信息安全構(gòu)建，防止公眾的合法權(quán)益受到侵害。

中消協(xié)相關(guān)負(fù)責(zé)人表示，消費(fèi)者應(yīng)增強(qiáng)個(gè)人隱私的保護(hù)意識(shí)，包括及時(shí)更換密碼，不要親信一些電話、短信關(guān)于保險(xiǎn)方面的詐騙。若保單信息遭到嚴(yán)重泄露，且造成后果，消費(fèi)者可直接起訴相關(guān)保險(xiǎn)公司，以維護(hù)自身合法權(quán)益。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。