白帽駭客:部分銀行險企基金公司網路平臺確存漏洞
- 發佈時間:2015-07-23 08:35:00 來源:人民網 責任編輯:湯婧
保險公司通過官網等網路銷售渠道賣保險真的“保險”嗎?
近日,某大型上市壽險公司再次被曝出有“省系統存在漏洞,可泄漏百萬條客戶資訊”。事實上,《證券日報》(zqrbbaoxian)記者查閱國內的漏洞盒子、補天漏洞等漏洞檢測平臺發現,險企的網路平臺存在漏洞並非個例,統計顯示,有超過20家保險機構的官網等平臺被漏洞檢測平臺測出各類漏洞。
值得注意的是,被曝出有漏洞的平臺涵蓋大、中、小各類保險公司。從各保險機構曝出的漏洞類型來看,部分高危漏洞可暴露客戶的保單資訊、微信支付資訊、客戶姓名、電話、身份證、住址、收入、職業等敏感資訊,甚至是充值卡、資金都可以被轉移。
值得一提的是,金融領域中,不止保險機構存在各類涉及普通消費者個人隱私的系統漏洞,銀行、基金、券商、P2P領域等也存在著類似的問題。
洩露客戶資訊
7月1日,一位叫做“system-gov”的白帽駭客(又稱為白帽子,即通過測試網路和系統性能,來判定它們能夠承受入侵強弱程度的網路安全工程師)在補天漏洞響應平臺發佈了一則某保險公司網銷平臺可致600萬條客戶詳細資訊洩露的漏洞。system-gov在漏洞描述中調侃道:“我要把這些資訊上交給國家,資訊收集也就算了,居然還可通過APP 進行GPS坐標收集。”
資料顯示,補天漏洞響應平臺漏洞數據同步公安部、網信辦和國家漏洞庫。此前中國鐵路客戶服務中心12306網站用戶數據洩露事件成為大家關注的焦點後,12306網站加入補天漏洞響應平臺,並號召網友搜尋漏洞,每個漏洞最高懸賞2000元。
《證券日報》(zqrbbaoxian)記者梳理補天漏洞響應平臺發佈的保險公司各類平臺存在的漏洞發現,這些漏洞多數針對保險公司官網銷售平臺,部分漏洞也涉及保險公司的其他管理系統。
在公佈的各類漏洞中,保單客戶資訊、微信支付資訊、客戶姓名、住址、電話號碼、薪資收入、職業資訊等敏感資訊可被任意下載的漏洞較為普遍,部分漏洞可使駭客直接重置密碼。如6月29日,白帽駭客“好霸氣的名字”在補天漏洞響應平臺發佈的某保險公司漏洞顯示,該漏洞可使在公司官網註冊的任意用戶密碼被重置和修改。
另外,部分系統漏洞可致保險公司保單的保費金額被任意修改,即漏洞可使駭客用1毛錢購買保費遠高於此的保險。其實,另一漏洞檢測平臺漏洞盒子在今年6月份發佈的某保險公司設計缺陷就表示,此缺陷可導致這一“高危漏洞”,漏洞發佈後並隨即得到該保險公司的確認。
如果説資訊洩露對保險公司和消費者帶來的威脅較輕的話,那麼直接提現、轉賬呢?你沒看錯,部分保險公司的網路平臺由於存在漏洞,可供駭客直接提現、鉅額資金可能被直接轉賬。
2015年6月17日,白帽駭客carry-your在補天漏洞平臺發佈了某中資中型財産保險公司的一個漏洞,並附有該保險公司漏洞侵入後的界面圖。根據描述,該漏洞可導致該公司的“全部員工個人資訊及公司各種敏感資訊洩露”,甚至是公司的20萬元的燃氣充值卡被轉走,公司的支付寶用戶名及密碼不僅能重置密碼,還能直接轉賬。
不僅壽險公司的官網等平臺存在系統漏洞,部分財險的系統也存在漏洞。根據《證券日報》記者對補天漏洞響應平臺上統計發現,已經確認平臺存在漏洞的壽險公司、財險公司共計超過20家,還有一大批保險公司的各類平臺,雖然有白帽駭客檢測出來漏洞,但並沒有經過保險公司確認。
補天漏洞響應平臺安全專家鄧煥表示,部分資訊包括居民身份證、薪酬等敏感資訊。這些資訊一旦洩露,造成的危害不僅是個人隱私全無,還會被犯罪分子利用。例如,被用於複製身份證、盜辦信用卡、盜刷信用卡等一系列刑事或經濟犯罪。
部分金融機構均有涉及
2015年7月18日,經黨中央、國務院同意,《關於促進網際網路金融健康發展的指導意見》正式對外發佈。《指導意見》明確提出網際網路金融的主要業態包括網際網路支付、網路借貸、股權眾籌融資、網際網路基金銷售、網際網路保險、網際網路信託和網際網路消費金融等。
在政策環境一片向好的大形勢下,“網際網路+金融”熱極一時,部分上市公司也是稍沾該概念其股價便一路飆漲。而“網際網路+金融”在進入快車道的同時,平臺漏洞、系統漏洞也如影隨形。
7月14日,白帽駭客system-gov在補天漏洞平臺公佈了一則某基金公司系統漏洞,根據漏洞描述,該漏洞可導致駭客獲取:百萬個基金賬戶+密碼;百萬名用戶詳細資訊;基金交易記錄;實時證券/基金結算數據;海量短信記錄等敏感資訊。
更為可怕的是,該漏洞可使得該基金公司的“短信系統淪陷”,並利用漏洞進行短信詐騙;該漏洞也能使該基金公司的郵件系統淪陷,駭客可隨意發送釣魚郵件;該漏洞亦可導致該基金公司的坐席系統也形同虛設,駭客可滲透至基金公司內網。
system-gov在發佈漏洞的同時,也附帶貼出該基金公司部分打過馬賽克的客戶賬戶與密碼。漏洞爆出後的7月17日11時36分,該基金公司確認了該漏洞的存在,並表示“感謝system_gov發現,我們儘快解決”。
金融領域中,並非基金公司存在漏洞,銀行也可能存在漏洞,另一漏洞檢測平臺漏洞盒子前不久發佈了編號為“Vulbox-2015-07971”的漏洞,該漏洞可使得某銀行貸款系統洩露大量用戶資訊,包括銀行卡號、電話、身份證、餘額等。
事實上,《證券日報》(zqrbbaoxian)記者查閱補天漏洞平臺已經確認存在漏洞的金融機構還包括券商、P2P等金融機構,而這些漏洞或可導致大量的客戶資訊被洩露,對眾多消費者的資金安全形成隱患,看似安全的網際網路金融平臺也並非無懈可擊。