險企齊陷“黑洞門” 千萬客戶資訊恐遭泄漏
- 發佈時間:2015-07-24 08:56:00 來源:中國經濟網 責任編輯:郭偉瑩
《經濟參考報》記者日前在採訪中了解到,近兩個月時間內,包括太平洋保險公司、中華保險公司、新華保險、吉祥人壽等在內的保險公司頻被曝出漏洞,千萬客戶的資訊面臨泄漏風險。
信誠人壽保險“中招”
數十個伺服器面臨被“攻陷”
記者在補天漏洞相應平臺上發現了白帽子(網路安全術語,指可以識別電腦系統或網路系統中安全漏洞的人,但這類人不會惡意利用漏洞,而是發佈漏洞資訊,幫助當事方及時修復漏洞)提交的編號為“QTVA-2015-262526”信誠人壽保險漏洞資訊,提交資訊的白帽子被獎勵1000元,這幾乎是近期單筆最大的獎勵,原因是“漏洞太多,資訊泄漏風險很大”。按照白帽子提交的監測報告顯示,信誠人壽保險公司面臨泄漏數以萬計的客戶銀行卡號、密碼、開戶行地址、身份證等敏感資訊的風險。
值得注意的是,除客戶資訊存在嚴重洩露風險外,涉及公司內部的私密資訊也“中招”。根據提交的漏洞資訊顯示,信誠人壽保險公司與其他一些大型保險公司數以億計的發生金額、開戶公司、開戶行地址一目了然,內部業務人員的賬號密碼也遭破解,包括了從直銷市場總監、運營主管到直銷櫃員等多個層級的賬號密碼。更為嚴重的是,該保險公司竟然存在管理員賬號通用情況,數十個伺服器幾乎成為不設防的“裸機”。
而這僅是冰山一角。記者查詢補天漏洞響應平臺發現,從6月份起,超過20多家從事保險業務的公司被白帽子曝出40多個漏洞,既有太平洋保險公司、中華保險公司、新華保險、吉祥人壽等大型保險公司,同時也有一些中小保險公司。
資訊安全形勢不容樂觀
中小保險公司修復不及時
家住河北石家莊的王先生告訴記者,前段時間他接到電話,來電顯示為某保險公司客戶服務電話。接通後,對方自稱是保險公司的業務人員,説出了王先生的姓名和車輛資訊,並告知王先生因車子剮蹭受損,現已通過理賠審核,需支付賠付金,但要説出銀行賬戶進行核對,以便準確打款。
因有些疑慮,王先生並未按照要求告知其銀行賬號,而是向保險公司進行了電話查詢,結果發現果然是騙子。令王先生奇怪的是,自己的車子確實剮蹭並在幾天前向保險公司報案並進入理賠程式。“他不僅知道我的車輛型號、車牌號、姓名、電話、證件號等個人資訊,甚至連事故發生的時間、地點等詳細資訊都知道,我想知道這些理應非常隱私的資訊怎麼會洩露出去呢?”王先生憤慨地説。
“保險公司數據庫中,涉及到投保人的包括姓名、工作、個人收入、親屬關係、家庭收入、健康等大量敏感資訊,這些資訊被數據販子以每條1至5元錢的價格倒賣,因此也成為一些不法分子網路攻擊的重點。”一位業內專家對《經濟參考報》記者説。
記者查閱補天平臺數據顯示,太平洋保險河南省某系統存在漏洞,可導致500萬保單資訊,數百萬投保人等資訊洩露;中國平安五套保險系統存在漏洞,可導致洩露大量投保人資訊、保單資訊,甚至駭客可通過漏洞對保單進行撤保操作;華泰保險出現某漏洞,可導致全部員工資訊、20萬燃氣充值卡等敏感資訊泄漏;泰山保險某系統的漏洞、中華保險某漏洞均可能造成數百萬客戶、詳細保單資訊泄漏。
“有的公司竟然一個月被發現6次漏洞,資訊安全形勢不容樂觀。從目前白帽子提交的證據看,漏洞可能導致上千萬客戶資訊面臨泄漏風險。”補天平臺負責人對《經濟參考報》記者説,大型保險公司的安全響應機制相對完善,漏洞提交後會進行一些積極修復,但不少中小保險公司在發現後卻遲遲未修復,基本上放任風險發酵。
險企須對公眾資訊保護擔責
“出現漏洞的原因基本上可歸結為三類:一個是籬笆墻原本扎得不夠牢;一個是懶得去扎籬笆;三是籬笆墻漏了好長時間都不知道。” 360安全專家介紹稱,網際網路金融興起後,一些網路管理人員水準沒有跟上,更多的是由於安全意識不夠。從信誠人壽保險內部人員的賬號密碼面臨泄漏來看,他們十多個人員初始密碼沒有修改,也就是存在弱密碼情況,這屬於“懶得扎籬笆”,如果修改初始密碼,駭客恐難以突破。
報告顯示,2014年,網際網路保險業務規模繼續大幅增長,當年保費收入858.9億元,同比增長195%。與此同時,網際網路渠道業務佔總保費收入的比例達到4.2%,成為拉動保費增長的重要因素之一。伴隨網際網路業務的不斷擴大,資訊安全也成為眾多險企頭上的一道“緊箍咒”。此前,河北保監局就曾在下發給各保險公司、保險仲介機構的文件中對資訊安全進行過風險提示。
國家資訊技術安全研究中心專家曹岳在接受《經濟參考報》記者採訪時表示,由於平臺本身交易量巨大、往來客戶數量多,對試圖非法獲取客戶敏感資訊的不法分子來説,一旦成功,其獲益是巨大的。由此,像保險企業這樣涉及大量客戶個人資訊和商業機構資訊存儲的企業,須對公眾資訊保護承擔義務,更應加強資訊安全構建,防止公眾的合法權益受到侵害。
中消協相關負責人表示,消費者應增強個人隱私的保護意識,包括及時更換密碼,不要親信一些電話、短信關於保險方面的詐騙。若保單資訊遭到嚴重洩露,且造成後果,消費者可直接起訴相關保險公司,以維護自身合法權益。