記者日前在采訪中了解到,近兩個月時間內,包括太平洋保險公司、中華保險公司、新華保險、吉祥人壽等在內的保險公司頻被曝出漏洞,千萬客戶的信息面臨泄漏風險。
信誠人壽保險“中招”
數十個服務器面臨被“攻陷”
記者在補天漏洞相應平臺上發現了白帽子(網絡安全術語,指可以識別計算機系統或網絡系統中安全漏洞的人,但這類人不會惡意利用漏洞,而是發布漏洞信息,幫助當事方及時修復漏洞)提交的編號為“QTVA-2015-262526”信誠人壽保險漏洞信息,提交信息的白帽子被獎勵1000元,這幾乎是近期單筆最大的獎勵,原因是“漏洞太多,信息泄漏風險很大”。按照白帽子提交的監測報告顯示,信誠人壽保險公司面臨泄漏數以萬計的客戶銀行卡號、密碼、開戶行地址、身份證等敏感信息的風險。
值得注意的是,除客戶信息存在嚴重泄露風險外,涉及公司內部的私密信息也“中招”。根據提交的漏洞信息顯示,信誠人壽保險公司與其他一些大型保險公司數以億計的發生金額、開戶公司、開戶行地址一目了然,內部業務人員的賬號密碼也遭破解,包括了從直銷市場總監、運營主管到直銷柜員等多個層級的賬號密碼。更為嚴重的是,該保險公司竟然存在管理員賬號通用情況,數十個服務器幾乎成為不設防的“裸機”。
而這僅是冰山一角。記者查詢補天漏洞響應平臺發現,從6月份起,超過20多家從事保險業務的公司被白帽子曝出40多個漏洞,既有太平洋保險公司、中華保險公司、新華保險、吉祥人壽等大型保險公司,同時也有一些中小保險公司。
信息安全形勢不容樂觀
中小保險公司修復不及時
家住河北石家莊的王先生告訴記者,前段時間他接到電話,來電顯示為某保險公司客戶服務電話。接通后,對方自稱是保險公司的業務人員,說出了王先生的姓名和車輛信息,并告知王先生因車子剮蹭受損,現已通過理賠審核,需支付賠付金,但要說出銀行賬戶進行核對,以便準確打款。
因有些疑慮,王先生并未按照要求告知其銀行賬號,而是向保險公司進行了電話查詢,結果發現果然是騙子。令王先生奇怪的是,自己的車子確實剮蹭并在幾天前向保險公司報案并進入理賠程序。“他不僅知道我的車輛型號、車牌號、姓名、電話、證件號等個人信息,甚至連事故發生的時間、地點等詳細信息都知道,我想知道這些理應非常隱私的信息怎么會泄露出去呢?”王先生憤慨地說。
“保險公司數據庫中,涉及到投保人的包括姓名、工作、個人收入、親屬關系、家庭收入、健康等大量敏感信息,這些信息被數據販子以每條1至5元錢的價格倒賣,因此也成為一些不法分子網絡攻擊的重點。”一位業內專家對《經濟參考報》記者說。
記者查閱補天平臺數據顯示,太平洋保險河南省某系統存在漏洞,可導致500萬保單信息,數百萬投保人等信息泄露;中國平安(82.57, 3.32, 4.19%)五套保險系統存在漏洞,可導致泄露大量投保人信息、保單信息,甚至黑客可通過漏洞對保單進行撤保操作;華泰保險出現某漏洞,可導致全部員工信息、20萬燃氣充值卡等敏感信息泄漏;泰山保險某系統的漏洞、中華保險某漏洞均可能造成數百萬客戶、詳細保單信息泄漏。
“有的公司竟然一個月被發現6次漏洞,信息安全形勢不容樂觀。從目前白帽子提交的證據看,漏洞可能導致上千萬客戶信息面臨泄漏風險。”補天平臺負責人對《經濟參考報》記者說,大型保險公司的安全響應機制相對完善,漏洞提交后會進行一些積極修復,但不少中小保險公司在發現后卻遲遲未修復,基本上放任風險發酵。
險企須對公眾信息保護擔責
“出現漏洞的原因基本上可歸結為三類:一個是籬笆墻原本扎得不夠牢;一個是懶得去扎籬笆;三是籬笆墻漏了好長時間都不知道。” 360安全專家介紹稱,互聯網金融興起后,一些網絡管理人員水平沒有跟上,更多的是由于安全意識不夠。從信誠人壽保險內部人員的賬號密碼面臨泄漏來看,他們十多個人員初始密碼沒有修改,也就是存在弱口令情況,這屬于“懶得扎籬笆”,如果修改初始密碼,黑客恐難以突破。
報告顯示,2014年,互聯網保險業務規模繼續大幅增長,當年保費收入858.9億元,同比增長195%。與此同時,互聯網渠道業務占總保費收入的比例達到4.2%,成為拉動保費增長的重要因素之一。伴隨互聯網業務的不斷擴大,信息安全也成為眾多險企頭上的一道“緊箍咒”。此前,河北保監局就曾在下發給各保險公司、保險中介機構的文件中對信息安全進行過風險提示。
國家信息技術安全研究中心專家曹岳在接受《經濟參考報》記者采訪時表示,由于平臺本身交易量巨大、往來客戶數量多,對試圖非法獲取客戶敏感信息的不法分子來說,一旦成功,其獲益是巨大的。由此,像保險企業這樣涉及大量客戶個人信息和商業機構信息存儲的企業,須對公眾信息保護承擔義務,更應加強信息安全構建,防止公眾的合法權益受到侵害。
中消協相關負責人表示,消費者應增強個人隱私的保護意識,包括及時更換密碼,不要親信一些電話、短信關于保險方面的詐騙。若保單信息遭到嚴重泄露,且造成后果,消費者可直接起訴相關保險公司,以維護自身合法權益。
京公網安備 11010502049343號