从6月起,信诚人寿、民生、百年人寿、国寿、新华、太保、人保、中华联合等20余家保险公司被曝出各类漏洞。部分高危漏洞可泄露保单信息、客户信息、员工信息等,可导致客户姓名、电话、身份证、住址等敏感信息被任意下载,用户密码被重置等风险。漫画
刘道伟

  首都经济贸易大学教授、首经贸农村保险研究所所长庹国柱[微博]此前在国寿上一次客户信息泄露时,接受媒体采访公开指出:“客户发现自己的信息暴露在网络上应该立即联系保险公司,如果造成了后果,可以追究相应的法律责任。”

  多家险企被曝出现“信息漏洞”

  梨涡浅笑-兰雅:“中国的保险公司就像是扶不起的阿斗,整天出问题,本应是最安全最可放心购买的东西,现在让
老百姓(603883)像防贼一样防着!”

金沙官网手机网址,  一家中小险企IT负责人表示,互联网金融近两年发展非常快,金融服务都快速“上网”,但大多数保险公司在搭建自身互联网平台的时候,主要是考虑了如何将现有流程迁移上网,却忽视了互联网信息安全的基础建设。目前主流的互联网技术都为开源技术,一些漏洞和补丁需要经常升级,保险公司对于这类技术的认识、研究和人才储备都不足。

  中国人寿屡被曝出客户信息泄露问题

  部分高危漏洞可能导致客户敏感信息泄露;分析称保险业安全投入相对较少

  2014年12月4月
,智联招聘系统存在漏洞,86万用户的简历信息有泄露的危险,黑客可通过漏洞获取包括用户姓名、地址、身份证号、户口等在内的私密信息。

  记者就此询问了太保、新华、平安、中华联合、信诚人寿、华夏保险、民生保险等多家险企,除不回应和暂未收到回应外,多数险企相关负责人表示还在跟技术部门沟通或技术部门还在抓紧核实、排查,但没有客户和内部人员的信息泄露。

  据了解,补天漏洞响应平台是目前全球最大的漏洞响应平台,漏洞数据同步公安部、网信办和国家漏洞库。据该平台爆料网友提供的中国人寿系统漏洞截图来看,漏洞涉及的信息包括客户的保单信息、微信支付信息、客户姓名、电话、身份证、住址、收入、职业等敏感信息。按照补天漏洞响应平台的处理过程,这一高危漏洞被补天漏洞响应平台定为高危事件型漏洞。中国人寿虽然对该高危漏洞存在情况进行了确认,但是否进行了补救却还没有答案。

  新京报讯
(记者梁薇薇)昨日,记者查阅国内补天漏洞响应平台发现,从今年6月份起,有20余家保险公司被曝出各类漏洞。

  信息泄露的发生已不是个案,不仅涉及保险业,一些掌握着大量客户个人信息的运营商同样成为了信息泄露的重灾区。记者在百度[微博]搜索引擎上输入“客户信息泄露案例”,找到相关结果上百万条,涉及各行各业。截至2015-7-13,仅在补天漏洞响应平台上已发现漏洞52493个,涉及厂商数量多达2187家,足以可见商业信息泄露情况十分严重。

  从补天曝出的漏洞类型来看,部分高危漏洞可泄露保险公司保单信息、客户信息、员工信息等,可导致客户姓名、电话、身份证、住址等敏感信息被任意下载,用户密码被重置等风险。

  “快修复吧,危害挺大的”,在平台的留言评论区,这位技术型信息达人、发布漏洞消息的网友carry_your特意@中国人寿财产保险股份有限公司,希望中国人寿能尽快修复漏洞,并在与网友@system_gov互动留言中表示:“咱又不动他们的数据,就是证明下危害,让厂商重视罢了”,明确表示不会因为出现漏洞而动用这些数据,发布目的是为了提醒与警示。

  “白帽黑客关注的更多的是险企的用户系统,反映的基本上都是比较大的漏洞,加上保险公司涉及的用户比较大,数据比较大,所以危害比较大。”补天平台负责人林伟表示,相对于其他金融行业,并不是说保险公司的漏洞比较多。但从客观说,保险行业相对于其他金融行业在安全这块的投入要少很多。

  据当时中国之声《央广新闻》报道,“众宜风险管理”的客服人员表示信息公开是为了方便客户查询,称与中国人寿是合作关系,共用一个数据库,但中国人寿称并未与“众宜风险管理”合作。除了中国人寿,这家网站还出售人保寿险、平安保险等多家保险公司的保险产品,三家保险公司的客户个人信息均有泄露的可能性,有记者曾以客户身份向该网站客户人员咨询,客服人员告诉记者只要把钱打过来,就可以把卡号和密码发过来进行投保。后来中国人寿发表声明称,“泄密”网站为中国人寿四川省分公司的合作方,即成都众宜康健科技有限公司所属的“众宜风险管理网”。因该网站升级操作失误导致信息泄露,并承诺今后公司将进一步加强客户信息管理,切实做好客户信息保密工作。

  在补天漏洞响应平台上曝出有漏洞较多的多数为中小险企,包括信诚人寿、民生保险、百年人寿、泰山保险、吉祥人寿等,也不乏国寿、新华、太保、人保、中华联合等大型保险公司。

  近日,《投资快报》记者登陆补天漏洞响应平台看到,5月21日,网友“carry_your”发布了一则等级为“高级”的漏洞信息,编号:QTVA-2015-237080,漏洞名称为“中国人寿某省系统存在漏洞#可getshell#泄漏百万客户信息”。从网友“carry_your”与其他网友的交流中可以看到,发布这条漏洞信息是为了引起中国人寿的重视,加紧对漏洞的修复,避免发生危害。在发布漏洞信息五天之后,于5月26日下午3:37分,“厂商”中国人寿对漏洞信息进行了确认,并对发现漏洞的网友表示感谢:“已确认漏洞,非常感谢!”

  不过,在微博中,网友们纷纷发表了自己的看法,对国寿的回应并不买账。陈之锦言:“悲催呀,保险的不负责保密!我说我的手机怎么总是接到其他保险公司的推销产品的短信、彩信、电话呐?”

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图