中國人壽系統漏洞屢遭曝光 客戶資訊安全難保障
- 發佈時間:2015-07-31 06:46:00 來源:中國經濟網 責任編輯:張明江
(圖片來源:資料圖)
據《投資者報》報道,中國人壽招聘系統存在危害等級為“高危”的漏洞,通過該招聘系統漏洞可越權訪問27萬份簡歷,應聘用戶資訊存在隨時洩露危險。而不久以前,同樣還是因為系統漏洞問題,中國人壽被曝光用戶保單資訊或已洩露。
上述系統漏洞是否已經得到了補救呢?為此,中國經濟網記者致電中國人壽,但截至發稿電話一直無人接聽。
國壽招聘系統被曝存漏洞
據《投資者報》報道,早在4月9日,網友“prolog”便向知名網路漏洞報告平臺烏雲平臺,就有關的細節通知廠商並且等待廠商處理。從網友提供的截圖可以看到,登陸中國人壽招聘系統簡歷中心後,點擊“預覽&列印PDF”按鈕,可以查看該招聘系統的簡歷資訊,資訊包括應聘者的基本資訊、聯繫資訊、教育資訊等。
中國人壽在得到漏洞資訊後,反應迅速並在當天上午十時許確認,回應危害等級為高,並對披露漏洞的網友表示感謝。不過後續進展卻為未可知。
今年上半年以來,烏雲漏洞報告平臺上網友除了披露中國人壽招聘系統上的漏洞,還披露了中國人壽的其他系統漏洞,危害等級低中高均有出現。據烏雲漏洞報告平臺統計,2015年上半年中國人壽漏洞出現7次,漏洞類型主要包括敏感資訊洩露、未授權訪問/許可權繞過、任意文件遍歷/下載以及設計缺陷/邏輯錯誤。
漏洞或致客戶保單資訊洩露
而不久以前,中國人壽廣東分公司還被曝光由於系統漏洞問題,數十萬份保單或已洩露。據《投資者報》報道,5月21日,網友“carry_your”發佈了一則等級為“高級”的漏洞資訊,編號:QTVA-2015-237080,漏洞名稱為“中國人壽某省系統存在漏洞#可getshell#泄漏百萬客戶資訊”。
從截圖透露的保單資訊來看,保單資訊、微信支付資訊、客戶姓名、電話、身份證、住址、收入多少、職業等敏感資訊一覽無余,並且超過9成以上的客戶屬地均顯示“廣東”,具體涵蓋了廣州、東莞、珠海、湛江、韶關、惠州、陽江、汕頭、江門等,幾乎廣東省所有地區縣市,不難判斷客戶資訊系統存在嚴重漏洞的應該是國壽的廣東省分公司。
中國經濟網記者就上述被曝光的兩起漏洞問題致電中國人壽,截至發稿電話一直無人接聽。
保單資訊若遭洩露 可起訴維權
保險企業被爆存在各類漏洞引起了社會的廣泛重視。據中國廣播網報道,中國人壽河南分公司的一位工作人員表示,由於是電子下單,確實存在資訊洩露的可能性。保單登記時需要使用人名、身份證號、有工作單位、手機號等個人基本資訊,存在客戶資訊被任意下載,用戶密碼被重置等風險。
據《經濟參考報》報道,國家資訊技術安全研究中心專家曹岳表示,由於平臺本身交易量巨大、往來客戶數量多,對試圖非法獲取客戶敏感資訊的不法分子來説,一旦成功,其獲益是巨大的。由此,像保險企業這樣涉及大量客戶個人資訊和商業機構資訊存儲的企業,須對公眾資訊保護承擔義務,更應加強資訊安全構建,防止公眾的合法權益受到侵害。
中消協相關負責人表示,消費者應增強個人隱私的保護意識,包括及時更換密碼,不要親信一些電話、短信關於保險方面的詐騙。若保單資訊遭到嚴重洩露,且造成後果,消費者可直接起訴相關保險公司,以維護自身合法權益。