險企齊陷“黑洞門” 千萬客戶信息恐遭泄漏

　　《經濟參考報》記者日前在采訪中了解到，近兩個月時間內，包括太平洋保險公司、中華保險公司、新華保險、吉祥人壽等在內的保險公司頻被曝出漏洞，千萬客戶的信息面臨泄漏風險。

　　信誠人壽保險“中招”

　　數十個服務器面臨被“攻陷”

　　記者在補天漏洞相應平臺上發現了白帽子(網絡安全術語，指可以識別計算機系統或網絡系統中安全漏洞的人，但這類人不會惡意利用漏洞，而是發布漏洞信息，幫助當事方及時修復漏洞)提交的編號為“QTVA-2015-262526”信誠人壽保險漏洞信息，提交信息的白帽子被獎勵1000元，這幾乎是近期單筆最大的獎勵，原因是“漏洞太多，信息泄漏風險很大”。按照白帽子提交的監測報告顯示，信誠人壽保險公司面臨泄漏數以萬計的客戶銀行卡號、密碼、開戶行地址、身份證等敏感信息的風險。

　　值得注意的是，除客戶信息存在嚴重泄露風險外，涉及公司內部的私密信息也“中招”。根據提交的漏洞信息顯示，信誠人壽保險公司與其他一些大型保險公司數以億計的發生金額、開戶公司、開戶行地址一目了然，內部業務人員的賬號密碼也遭破解，包括了從直銷市場總監、運營主管到直銷柜員等多個層級的賬號密碼。更為嚴重的是，該保險公司竟然存在管理員賬號通用情況，數十個服務器幾乎成為不設防的“裸機”。

　　而這僅是冰山一角。記者查詢補天漏洞響應平臺發現，從6月份起，超過20多家從事保險業務的公司被白帽子曝出40多個漏洞，既有太平洋保險公司、中華保險公司、新華保險、吉祥人壽等大型保險公司，同時也有一些中小保險公司。

　　信息安全形勢不容樂觀

　　中小保險公司修復不及時

　　家住河北石家莊的王先生告訴記者，前段時間他接到電話，來電顯示為某保險公司客戶服務電話。接通后，對方自稱是保險公司的業務人員，說出了王先生的姓名和車輛信息，并告知王先生因車子剮蹭受損，現已通過理賠審核，需支付賠付金，但要說出銀行賬戶進行核對，以便準確打款。

　　因有些疑慮，王先生并未按照要求告知其銀行賬號，而是向保險公司進行了電話查詢，結果發現果然是騙子。令王先生奇怪的是，自己的車子確實剮蹭并在幾天前向保險公司報案并進入理賠程序。“他不僅知道我的車輛型號、車牌號、姓名、電話、證件號等個人信息，甚至連事故發生的時間、地點等詳細信息都知道，我想知道這些理應非常隱私的信息怎么會泄露出去呢？”王先生憤慨地說。

　　“保險公司數據庫中，涉及到投保人的包括姓名、工作、個人收入、親屬關系、家庭收入、健康等大量敏感信息，這些信息被數據販子以每條1至5元錢的價格倒賣，因此也成為一些不法分子網絡攻擊的重點。”一位業內專家對《經濟參考報》記者說。

　　記者查閱補天平臺數據顯示，太平洋保險河南省某系統存在漏洞，可導致500萬保單信息，數百萬投保人等信息泄露；中國平安五套保險系統存在漏洞，可導致泄露大量投保人信息、保單信息，甚至黑客可通過漏洞對保單進行撤保操作；華泰保險出現某漏洞，可導致全部員工信息、20萬燃氣充值卡等敏感信息泄漏；泰山保險某系統的漏洞、中華保險某漏洞均可能造成數百萬客戶、詳細保單信息泄漏。

　　“有的公司竟然一個月被發現6次漏洞，信息安全形勢不容樂觀。從目前白帽子提交的證據看，漏洞可能導致上千萬客戶信息面臨泄漏風險。”補天平臺負責人對《經濟參考報》記者說，大型保險公司的安全響應機制相對完善，漏洞提交后會進行一些積極修復，但不少中小保險公司在發現后卻遲遲未修復，基本上放任風險發酵。

　　險企須對公眾信息保護擔責

　　“出現漏洞的原因基本上可歸結為三類：一個是籬笆墻原本扎得不夠牢；一個是懶得去扎籬笆；三是籬笆墻漏了好長時間都不知道。” 360安全專家介紹稱，互聯網金融興起后，一些網絡管理人員水平沒有跟上，更多的是由于安全意識不夠。從信誠人壽保險內部人員的賬號密碼面臨泄漏來看，他們十多個人員初始密碼沒有修改，也就是存在弱口令情況，這屬于“懶得扎籬笆”，如果修改初始密碼，黑客恐難以突破。

　　報告顯示，2014年，互聯網保險業務規模繼續大幅增長，當年保費收入858.9億元，同比增長195%。與此同時，互聯網渠道業務占總保費收入的比例達到4.2%，成為拉動保費增長的重要因素之一。伴隨互聯網業務的不斷擴大，信息安全也成為眾多險企頭上的一道“緊箍咒”。此前，河北保監局就曾在下發給各保險公司、保險中介機構的文件中對信息安全進行過風險提示。

　　國家信息技術安全研究中心專家曹岳在接受《經濟參考報》記者采訪時表示，由于平臺本身交易量巨大、往來客戶數量多，對試圖非法獲取客戶敏感信息的不法分子來說，一旦成功，其獲益是巨大的。由此，像保險企業這樣涉及大量客戶個人信息和商業機構信息存儲的企業，須對公眾信息保護承擔義務，更應加強信息安全構建，防止公眾的合法權益受到侵害。

　　中消協相關負責人表示，消費者應增強個人隱私的保護意識，包括及時更換密碼，不要親信一些電話、短信關于保險方面的詐騙。若保單信息遭到嚴重泄露，且造成后果，消費者可直接起訴相關保險公司，以維護自身合法權益。

?

?

?

相關鏈接：

?