險企齊陷“黑洞門” 千萬客戶信息恐遭泄漏

　　《經(jīng)濟參考報》記者日前在采訪中了解到，近兩個月時間內(nèi)，包括太平洋保險公司、中華保險公司、新華保險、吉祥人壽等在內(nèi)的保險公司頻被曝出漏洞，千萬客戶的信息面臨泄漏風險。

　　信誠人壽保險“中招”

　　數(shù)十個服務器面臨被“攻陷”

　　記者在補天漏洞相應平臺上發(fā)現(xiàn)了白帽子(網(wǎng)絡安全術語，指可以識別計算機系統(tǒng)或網(wǎng)絡系統(tǒng)中安全漏洞的人，但這類人不會惡意利用漏洞，而是發(fā)布漏洞信息，幫助當事方及時修復漏洞)提交的編號為“QTVA-2015-262526”信誠人壽保險漏洞信息，提交信息的白帽子被獎勵1000元，這幾乎是近期單筆最大的獎勵，原因是“漏洞太多，信息泄漏風險很大”。按照白帽子提交的監(jiān)測報告顯示，信誠人壽保險公司面臨泄漏數(shù)以萬計的客戶銀行卡號、密碼、開戶行地址、身份證等敏感信息的風險。

　　值得注意的是，除客戶信息存在嚴重泄露風險外，涉及公司內(nèi)部的私密信息也“中招”。根據(jù)提交的漏洞信息顯示，信誠人壽保險公司與其他一些大型保險公司數(shù)以億計的發(fā)生金額、開戶公司、開戶行地址一目了然，內(nèi)部業(yè)務人員的賬號密碼也遭破解，包括了從直銷市場總監(jiān)、運營主管到直銷柜員等多個層級的賬號密碼。更為嚴重的是，該保險公司竟然存在管理員賬號通用情況，數(shù)十個服務器幾乎成為不設防的“裸機”。

　　而這僅是冰山一角。記者查詢補天漏洞響應平臺發(fā)現(xiàn)，從6月份起，超過20多家從事保險業(yè)務的公司被白帽子曝出40多個漏洞，既有太平洋保險公司、中華保險公司、新華保險、吉祥人壽等大型保險公司，同時也有一些中小保險公司。

　　信息安全形勢不容樂觀

　　中小保險公司修復不及時

　　家住河北石家莊的王先生告訴記者，前段時間他接到電話，來電顯示為某保險公司客戶服務電話。接通后，對方自稱是保險公司的業(yè)務人員，說出了王先生的姓名和車輛信息，并告知王先生因車子剮蹭受損，現(xiàn)已通過理賠審核，需支付賠付金，但要說出銀行賬戶進行核對，以便準確打款。

　　因有些疑慮，王先生并未按照要求告知其銀行賬號，而是向保險公司進行了電話查詢，結(jié)果發(fā)現(xiàn)果然是騙子。令王先生奇怪的是，自己的車子確實剮蹭并在幾天前向保險公司報案并進入理賠程序?！八粌H知道我的車輛型號、車牌號、姓名、電話、證件號等個人信息，甚至連事故發(fā)生的時間、地點等詳細信息都知道，我想知道這些理應非常隱私的信息怎么會泄露出去呢？”王先生憤慨地說。

　　“保險公司數(shù)據(jù)庫中，涉及到投保人的包括姓名、工作、個人收入、親屬關系、家庭收入、健康等大量敏感信息，這些信息被數(shù)據(jù)販子以每條1至5元錢的價格倒賣，因此也成為一些不法分子網(wǎng)絡攻擊的重點。”一位業(yè)內(nèi)專家對《經(jīng)濟參考報》記者說。

　　記者查閱補天平臺數(shù)據(jù)顯示，太平洋保險河南省某系統(tǒng)存在漏洞，可導致500萬保單信息，數(shù)百萬投保人等信息泄露；中國平安五套保險系統(tǒng)存在漏洞，可導致泄露大量投保人信息、保單信息，甚至黑客可通過漏洞對保單進行撤保操作；華泰保險出現(xiàn)某漏洞，可導致全部員工信息、20萬燃氣充值卡等敏感信息泄漏；泰山保險某系統(tǒng)的漏洞、中華保險某漏洞均可能造成數(shù)百萬客戶、詳細保單信息泄漏。

　　“有的公司竟然一個月被發(fā)現(xiàn)6次漏洞，信息安全形勢不容樂觀。從目前白帽子提交的證據(jù)看，漏洞可能導致上千萬客戶信息面臨泄漏風險?！毖a天平臺負責人對《經(jīng)濟參考報》記者說，大型保險公司的安全響應機制相對完善，漏洞提交后會進行一些積極修復，但不少中小保險公司在發(fā)現(xiàn)后卻遲遲未修復，基本上放任風險發(fā)酵。

　　險企須對公眾信息保護擔責

　　“出現(xiàn)漏洞的原因基本上可歸結(jié)為三類：一個是籬笆墻原本扎得不夠牢；一個是懶得去扎籬笆；三是籬笆墻漏了好長時間都不知道?！?360安全專家介紹稱，互聯(lián)網(wǎng)金融興起后，一些網(wǎng)絡管理人員水平?jīng)]有跟上，更多的是由于安全意識不夠。從信誠人壽保險內(nèi)部人員的賬號密碼面臨泄漏來看，他們十多個人員初始密碼沒有修改，也就是存在弱口令情況，這屬于“懶得扎籬笆”，如果修改初始密碼，黑客恐難以突破。

　　報告顯示，2014年，互聯(lián)網(wǎng)保險業(yè)務規(guī)模繼續(xù)大幅增長，當年保費收入858.9億元，同比增長195%。與此同時，互聯(lián)網(wǎng)渠道業(yè)務占總保費收入的比例達到4.2%，成為拉動保費增長的重要因素之一。伴隨互聯(lián)網(wǎng)業(yè)務的不斷擴大，信息安全也成為眾多險企頭上的一道“緊箍咒”。此前，河北保監(jiān)局就曾在下發(fā)給各保險公司、保險中介機構的文件中對信息安全進行過風險提示。

　　國家信息技術安全研究中心專家曹岳在接受《經(jīng)濟參考報》記者采訪時表示，由于平臺本身交易量巨大、往來客戶數(shù)量多，對試圖非法獲取客戶敏感信息的不法分子來說，一旦成功，其獲益是巨大的。由此，像保險企業(yè)這樣涉及大量客戶個人信息和商業(yè)機構信息存儲的企業(yè)，須對公眾信息保護承擔義務，更應加強信息安全構建，防止公眾的合法權益受到侵害。

　　中消協(xié)相關負責人表示，消費者應增強個人隱私的保護意識，包括及時更換密碼，不要親信一些電話、短信關于保險方面的詐騙。若保單信息遭到嚴重泄露，且造成后果，消費者可直接起訴相關保險公司，以維護自身合法權益。

?

?

?

相關鏈接：

?