新聞源 財富源

2024年12月19日 星期四

財經 > 消費 > 消費警示 > 正文

字號:  

中國人壽再曝存高危漏洞 百萬客戶資訊或已洩露

  • 發佈時間:2015-07-16 09:16:00  來源:中國經濟網  作者:佚名  責任編輯:金瀟

  近日,《投資快報》記者在補天漏洞響應平臺上觀察發現,有專業級別的網友披露 中國人壽(601628)廣東分公司系統存在高危漏洞,百萬客戶資訊存在隨時大面積洩露的可能性。

  據了解,補天漏洞響應平臺是目前全球最大的漏洞響應平臺,漏洞數據同步公安部、網信辦和國家漏洞庫。據該平臺爆料網友提供的中國人壽系統漏洞截圖來看,漏洞涉及的資訊包括客戶的保單資訊、微信支付資訊、客戶姓名、電話、身份證、住址、收入、職業等敏感資訊。按照補天漏洞響應平臺的處理過程,這一高危漏洞被補天漏洞響應平臺定為高危事件型漏洞。中國人壽雖然對該高危漏洞存在情況進行了確認,但是否進行了補救卻還沒有答案。

  嚴重漏洞!

  國壽廣東十萬份保單裸露“一絲不挂”

  近日,《投資快報》記者登陸補天漏洞響應平臺看到,5月21日,網友“carry_your”發佈了一則等級為“高級”的漏洞資訊,編號:QTVA-2015-237080,漏洞名稱為“中國人壽某省系統存在漏洞#可getshell#泄漏百萬客戶資訊”。從網友“carry_your”與其他網友的交流中可以看到,發佈這條漏洞資訊是為了引起中國人壽的重視,加緊對漏洞的修復,避免發生危害。在發佈漏洞資訊五天之後,于5月26日下午3:37分,“廠商”中國人壽對漏洞資訊進行了確認,並對發現漏洞的網友表示感謝:“已確認漏洞,非常感謝!”

  在得到中國人壽的確認後,補天漏洞響應平臺對發佈漏洞資訊網友“carry_your”進行了支付獎勵。值得注意的是,根據平臺處理過程顯示條的顯示,對於這一漏洞,截至目前中國人壽尚未修復(詳情見以下截圖)。

  “快修復吧,危害挺大的”,在平臺的留言評論區,這位技術型資訊達人、發佈漏洞消息的網友carry_your特意@中國人壽財産保險股份有限公司,希望中國人壽能儘快修復漏洞,並在與網友@system_gov互動留言中表示:“咱又不動他們的數據,就是證明下危害,讓廠商重視罷了”,明確表示不會因為出現漏洞而動用這些數據,發佈目的是為了提醒與警示。

  從截圖透露的保單資訊來看,保單資訊、微信支付資訊、客戶姓名、電話、身份證、住址、收入多少、職業等敏感資訊一覽無余,並且超過9成以上的客戶屬地均顯示“廣東”,具體涵蓋了廣州、東莞、珠海、湛江、韶關、惠州、陽江、汕頭、江門等,幾乎廣東省所有地區縣市,不難判斷客戶資訊系統存在嚴重漏洞的應該是國壽的廣東省分公司。

  5月28日上午,經濟參考報的官方微網志也披露,“前不久,一名18歲的‘駭客’,竟然通過自學編程,帶領一批人在網上大肆盜刷別人的銀行卡,涉案金額近15億元。近期中國人壽某省系統出現漏洞更加觸目驚心,可導致近十萬保單遭洩露,涉及百萬客戶資訊包括姓名、身份證、電話、住址、收入等。”

  中國人壽屢被曝出客戶資訊洩露問題

  據報道,早在2013年初,有網友在凱迪社區發帖稱,在中國人壽註冊汽車救援卡時發現在搜索資訊欄裏可以任意搜索出投保人的資訊,包括險種、手機號、身份證號和密碼等敏感資訊。在該帖子的評論中有網友透露,中國人壽投保人的資訊還在一個名叫“眾宜風險管理”的網站中均能隨便查出,洩露資訊高達80萬頁,共有約80萬條資訊。換言之,這批巨大的資訊數據有可能隨時會被其他人有意截獲或被倒賣,因此也必然會對這些客戶的生活或者財産帶來難以估量的影響。

  據當時中國之聲《央廣新聞》報道,“眾宜風險管理”的客服人員表示資訊公開是為了方便客戶查詢,稱與中國人壽是合作關係,共用一個數據庫,但中國人壽稱並未與“眾宜風險管理”合作。除了中國人壽,這家網站還出售人保壽險、平安保險等多家保險公司的保險産品,三家保險公司的客戶個人資訊均有洩露的可能性,有記者曾以客戶身份向該網站客戶人員諮詢,客服人員告訴記者只要把錢打過來,就可以把卡號和密碼發過來進行投保。後來中國人壽發表聲明稱,“泄密”網站為中國人壽四川省分公司的合作方,即成都眾宜康健科技有限公司所屬的“眾宜風險管理網”。因該網站升級操作失誤導致資訊洩露,並承諾今後公司將進一步加強客戶資訊管理,切實做好客戶資訊保密工作。

  不過,在微網志中,網友們紛紛發表了自己的看法,對國壽的回應並不買賬。陳之錦言:“悲催呀,保險的不負責保密!我説我的手機怎麼總是接到其他保險公司的推銷産品的短信、彩信、電話吶?”

  趙佔領:“即使是合作網站失誤所致,中國人壽仍有不可推卸的責任。自己收集的個人資訊為什麼提供給第三方?是否經過用戶同意?”

  十點鐘方向是我:“一句操作失誤或者説一句抱歉就能解決我們百姓隱私權受侵害嗎?”

  松樹塔兒:“失誤所致,然後呢?”

  梨渦淺笑-蘭雅:“中國的保險公司就像是扶不起的阿鬥,整天出問題,本應是最安全最可放心購買的東西,現在讓 老百姓(603883)像防賊一樣防著!”

  資訊洩露情況普遍 涉及各行各業

  資訊洩露的發生已不是個案,不僅涉及保險業,一些掌握著大量客戶個人資訊的運營商同樣成為了資訊洩露的重災區。記者在百度搜索引擎上輸入“客戶資訊洩露案例”,找到相關結果上百萬條,涉及各行各業。截至2015-7-13,僅在補天漏洞響應平臺上已發現漏洞52493個,涉及廠商數量多達2187家,足以可見商業資訊洩露情況十分嚴重。

  據報道,作為國內線上旅遊市場份額最大的服務商攜程網系統存在漏洞,可導致用戶個人資訊、銀行卡資訊等洩露。漏洞洩露資訊包括用戶姓名、身份證號、銀行卡類別、銀行卡卡號、銀行卡cvv(信用卡背面的三位數安全碼)碼等。

  2014年5月14日,據媒體披露,800萬小米用戶數據洩露,洩露數據帶有大量用戶資料,可被用來訪問小米雲服務並獲取更多的私密資訊。甚至可通過同步獲得通訊錄、短信、照片、定位、鎖定手機及刪除資訊等。

  2014年12月4月 ,智聯招聘系統存在漏洞,86萬用戶的簡歷資訊有洩露的危險,駭客可通過漏洞獲取包括用戶姓名、地址、身份證號、戶口等在內的私密資訊。

  有關資訊專家表示,商業資訊的洩露危害極大,不僅會對客戶的生活帶來干擾,還會對客戶的財産安全帶來威脅。每年産值上百億的電信詐騙,恰恰是依託這些被洩露的個人資訊才能施展。

  專家:受損客戶可起訴中國人壽

  國內外客戶資訊洩露事件頻繁發生,風險管理方面的專家稱,電子商務平臺在資訊安全方面出現問題,一方面是平臺自身安全性重視程度與其業務發展規模不匹配;另一方面,由於平臺本身交易量巨大、往來用戶數量多,對試圖非法獲取用戶敏感資訊的不法分子來説,一旦成功,其獲益是巨大的誘惑,網際網路的不可追溯性也降低了不法分子的犯罪成本。有資訊安全專家建議,諸如保險、電信及銀行等資訊容易遭到洩露的行業應該加強對內部的管理,只有這樣,才能從根本上杜絕出現客戶資訊洩露這樣的大事件的發生。

  國家資訊技術安全研究中心專家曹岳日前也表示,僅從不斷披露的資訊安全洩露事件來看,黑色産業集團化、趨利化、跨境化的趨勢明顯。隨著我們進入一個萬物互聯的“網際網路+”時代,網路越來越多地承載個人和商業機構的資訊,商業資訊洩露情況將會更加嚴重,而這其中個人和企業將成為資訊洩露的最大受害者,如隱私和商業秘密洩露等。此外規模化的資訊洩露的危害難以估計,使得整個産業安全處於“裸奔”的狀態。

  “我們整體的安全意識、法律體系、技術防護手段等都需要提高完善。”曹岳説,國家應該建立資訊安全評級制度,通過評級來真正落實資訊安全問責機制,將責任落實到人,彌補我們在資訊安全方面的責任缺位問題。

  值得一提的是,保單資訊嚴重洩露,專家稱這些客戶可直接起訴中國人壽。我國首部個人資訊保護國家標準《資訊安全技術公共及商用服務資訊系統個人資訊保護指南》已于2013年2月1日正式實施,按照標準要求,客戶可以直接起訴中國人壽。

  首都經濟貿易大學教授、首經貿農村保險研究所所長庹國柱此前在國壽上一次客戶資訊洩露時,接受媒體採訪公開指出:“客戶發現自己的資訊暴露在網路上應該立即聯繫保險公司,如果造成了後果,可以追究相應的法律責任。”

中國人壽(601628) 詳細

熱圖一覽

  • 股票名稱 最新價 漲跌幅