近日,《投資快報》記者在補天漏洞響應平臺上觀察發現,有專業級別的網友披露 中國人壽(32.78, -0.95, -2.82%)(601628)廣東分公司系統存在高危漏洞,百萬客戶信息存在隨時大面積泄露的可能性。
據了解,補天漏洞響應平臺是目前全球最大的漏洞響應平臺,漏洞數據同步公安部、網信辦和國家漏洞庫。據該平臺爆料網友提供的中國人壽系統漏洞截圖來看,漏洞涉及的信息包括客戶的保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入、職業等敏感信息。按照補天漏洞響應平臺的處理過程,這一高危漏洞被補天漏洞響應平臺定為高危事件型漏洞。中國人壽雖然對該高危漏洞存在情況進行了確認,但是否進行了補救卻還沒有答案。
嚴重漏洞!
國壽廣東十萬份保單裸露“一絲不掛”
近日,《投資快報》記者登陸補天漏洞響應平臺看到,5月21日,網友“carry_your”發布了一則等級為“高級”的漏洞信息,編號:QTVA-2015-237080,漏洞名稱為“中國人壽某省系統存在漏洞#可getshell#泄漏百萬客戶信息”。從網友“carry_your”與其他網友的交流中可以看到,發布這條漏洞信息是為了引起中國人壽的重視,加緊對漏洞的修復,避免發生危害。在發布漏洞信息五天之后,于5月26日下午3:37分,“廠商”中國人壽對漏洞信息進行了確認,并對發現漏洞的網友表示感謝:“已確認漏洞,非常感謝!”
在得到中國人壽的確認后,補天漏洞響應平臺對發布漏洞信息網友“carry_your”進行了支付獎勵。值得注意的是,根據平臺處理過程顯示條的顯示,對于這一漏洞,截至目前中國人壽尚未修復(詳情見以下截圖)。
“快修復吧,危害挺大的”,在平臺的留言評論區,這位技術型信息達人、發布漏洞消息的網友carry_your特意@中國人壽財產保險股份有限公司,希望中國人壽能盡快修復漏洞,并在與網友@system_gov互動留言中表示:“咱又不動他們的數據,就是證明下危害,讓廠商重視罷了”,明確表示不會因為出現漏洞而動用這些數據,發布目的是為了提醒與警示。
從截圖透露的保單信息來看,保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入多少、職業等敏感信息一覽無余,并且超過9成以上的客戶屬地均顯示“廣東”,具體涵蓋了廣州、東莞、珠海、湛江、韶關、惠州、陽江、汕頭、江門等,幾乎廣東省所有地區縣市,不難判斷客戶信息系統存在嚴重漏洞的應該是國壽的廣東省分公司。
5月28日上午,經濟參考報的官方微博也披露,“前不久,一名18歲的‘黑客’,竟然通過自學編程,帶領一批人在網上大肆盜刷別人的銀行卡,涉案金額近15億元。近期中國人壽某省系統出現漏洞更加觸目驚心,可導致近十萬保單遭泄露,涉及百萬客戶信息包括姓名、身份證、電話、住址、收入等。”
中國人壽屢被曝出客戶信息泄露問題
據報道,早在2013年初,有網友在凱迪社區發帖稱,在中國人壽注冊汽車救援卡時發現在搜索信息欄里可以任意搜索出投保人的信息,包括險種、手機號、身份證號和密碼等敏感信息。在該帖子的評論中有網友透露,中國人壽投保人的信息還在一個名叫“眾宜風險管理”的網站中均能隨便查出,泄露信息高達80萬頁,共有約80萬條信息。換言之,這批巨大的信息數據有可能隨時會被其他人有意截獲或被倒賣,因此也必然會對這些客戶的生活或者財產帶來難以估量的影響。
據當時中國之聲《央廣新聞》報道,“眾宜風險管理”的客服人員表示信息公開是為了方便客戶查詢,稱與中國人壽是合作關系,共用一個數據庫,但中國人壽稱并未與“眾宜風險管理”合作。除了中國人壽,這家網站還出售人保壽險、平安保險等多家保險公司的保險產品,三家保險公司的客戶個人信息均有泄露的可能性,有記者曾以客戶身份向該網站客戶人員咨詢,客服人員告訴記者只要把錢打過來,就可以把卡號和密碼發過來進行投保。后來中國人壽發表聲明稱,“泄密”網站為中國人壽四川省分公司的合作方,即成都眾宜康健科技有限公司所屬的“眾宜風險管理網”。因該網站升級操作失誤導致信息泄露,并承諾今后公司將進一步加強客戶信息管理,切實做好客戶信息保密工作。
不過,在微博中,網友們紛紛發表了自己的看法,對國壽的回應并不買賬。陳之錦言:“悲催呀,保險的不負責保密!我說我的手機怎么總是接到其他保險公司的推銷產品的短信、彩信、電話吶?”
趙占領:“即使是合作網站失誤所致,中國人壽仍有不可推卸的責任。自己收集的個人信息為什么提供給第三方?是否經過用戶同意?”
十點鐘方向是我:“一句操作失誤或者說一句抱歉就能解決我們百姓隱私權受侵害嗎?”
松樹塔兒:“失誤所致,然后呢?”
梨渦淺笑-蘭雅:“中國的保險公司就像是扶不起的阿斗,整天出問題,本應是最安全最可放心購買的東西,現在讓 老百姓(61.72, 1.91, 3.19%)(603883)像防賊一樣防著!”
信息泄露情況普遍 涉及各行各業
信息泄露的發生已不是個案,不僅涉及保險業,一些掌握著大量客戶個人信息的運營商同樣成為了信息泄露的重災區。記者在百度[微博]搜索引擎上輸入“客戶信息泄露案例”,找到相關結果上百萬條,涉及各行各業。截至2015-7-13,僅在補天漏洞響應平臺上已發現漏洞52493個,涉及廠商數量多達2187家,足以可見商業信息泄露情況十分嚴重。
據報道,作為國內在線旅游市場份額最大的服務商攜程網系統存在漏洞,可導致用戶個人信息、銀行卡信息等泄露。漏洞泄露信息包括用戶姓名、身份證號、銀行卡類別、銀行卡卡號、銀行卡cvv(信用卡背面的三位數安全碼)碼等。
2014年5月14日,據媒體披露,800萬小米用戶數據泄露,泄露數據帶有大量用戶資料,可被用來訪問小米云服務并獲取更多的私密信息。甚至可通過同步獲得通訊錄、短信、照片、定位、鎖定手機及刪除信息等。
2014年12月4月 ,智聯招聘系統存在漏洞,86萬用戶的簡歷信息有泄露的危險,黑客可通過漏洞獲取包括用戶姓名、地址、身份證號、戶口等在內的私密信息。
有關信息專家表示,商業信息的泄露危害極大,不僅會對客戶的生活帶來干擾,還會對客戶的財產安全帶來威脅。每年產值上百億的電信詐騙,恰恰是依托這些被泄露的個人信息才能施展。
專家:受損客戶可起訴中國人壽
國內外客戶信息泄露事件頻繁發生,風險管理方面的專家稱,電子商務平臺在信息安全方面出現問題,一方面是平臺自身安全性重視程度與其業務發展規模不匹配;另一方面,由于平臺本身交易量巨大、往來用戶數量多,對試圖非法獲取用戶敏感信息的不法分子來說,一旦成功,其獲益是巨大的誘惑,互聯網的不可追溯性也降低了不法分子的犯罪成本。有信息安全專家建議,諸如保險、電信及銀行等信息容易遭到泄露的行業應該加強對內部的管理,只有這樣,才能從根本上杜絕出現客戶信息泄露這樣的大事件的發生。
國家信息技術安全研究中心專家曹岳日前也表示,僅從不斷披露的信息安全泄露事件來看,黑色產業集團化、趨利化、跨境化的趨勢明顯。隨著我們進入一個萬物互聯的“互聯網+”時代,網絡越來越多地承載個人和商業機構的信息,商業信息泄露情況將會更加嚴重,而這其中個人和企業將成為信息泄露的最大受害者,如隱私和商業秘密泄露等。此外規模化的信息泄露的危害難以估計,使得整個產業安全處于“裸奔”的狀態。
“我們整體的安全意識、法律體系、技術防護手段等都需要提高完善。”曹岳說,國家應該建立信息安全評級制度,通過評級來真正落實信息安全問責機制,將責任落實到人,彌補我們在信息安全方面的責任缺位問題。
值得一提的是,保單信息嚴重泄露,專家稱這些客戶可直接起訴中國人壽。我國首部個人信息保護國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》已于2013年2月1日正式實施,按照標準要求,客戶可以直接起訴中國人壽。
首都經濟貿易大學教授、首經貿農村保險研究所所長庹國柱[微博]此前在國壽上一次客戶信息泄露時,接受媒體采訪公開指出:“客戶發現自己的信息暴露在網絡上應該立即聯系保險公司,如果造成了后果,可以追究相應的法律責任。”
京公網安備 11010502049343號