近两个月时间内,包括太平洋保险公司、中华保险公司、新华保险、吉祥人寿等在内的保险公司频被曝出漏洞,千万客户的信息面临泄漏风险。
信诚人寿保险“中招”
数十个服务器面临被“攻陷”
记者在补天漏洞相应平台上发现了白帽子(网络安全术语,指可以识别计算机系统或网络系统中安全漏洞的人,但这类人不会恶意利用漏洞,而是发布漏洞信息,帮助当事方及时修复漏洞)提交的编号为“QTVA-2015-262526”信诚人寿保险漏洞信息,提交信息的白帽子被奖励1000元,这几乎是近期单笔最大的奖励,原因是“漏洞太多,信息泄漏风险很大”。按照白帽子提交的监测报告显示,信诚人寿保险公司面临泄漏数以万计的客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。
值得注意的是,除客户信息存在严重泄露风险外,涉及公司内部的私密信息也“中招”。根据提交的漏洞信息显示,信诚人寿保险公司与其他一些大型保险公司数以亿计的发生金额、开户公司、开户行地址一目了然,内部业务人员的账号密码也遭破解,包括了从直销市场总监、运营主管到直销柜员等多个层级的账号密码。更为严重的是,该保险公司竟然存在管理员账号通用情况,数十个服务器几乎成为不设防的“裸机”。
而这仅是冰山一角。记者查询补天漏洞响应平台发现,从6月份起,超过20多家从事保险业务的公司被白帽子曝出40多个漏洞,既有太平洋保险公司、中华保险公司、新华保险、吉祥人寿等大型保险公司,同时也有一些中小保险公司。
信息安全形势不容乐观
中小保险公司修复不及时
家住河北石家庄的王先生告诉记者,前段时间他接到电话,来电显示为某保险公司客户服务电话。接通后,对方自称是保险公司的业务人员,说出了王先生的姓名和车辆信息,并告知王先生因车子剐蹭受损,现已通过理赔审核,需支付赔付金,但要说出银行账户进行核对,以便准确打款。
因有些疑虑,王先生并未按照要求告知其银行账号,而是向保险公司进行了电话查询,结果发现果然是骗子。令王先生奇怪的是,自己的车子确实剐蹭并在几天前向保险公司报案并进入理赔程序。“他不仅知道我的车辆型号、车牌号、姓名、电话、证件号等个人信息,甚至连事故发生的时间、地点等详细信息都知道,我想知道这些理应非常隐私的信息怎么会泄露出去呢?”王先生愤慨地说。
“保险公司数据库中,涉及到投保人的包括姓名、工作、个人收入、亲属关系、家庭收入、健康等大量敏感信息,这些信息被数据贩子以每条1至5元钱的价格倒卖,因此也成为一些不法分子网络攻击的重点。”一位业内专家对《经济参考报》记者说。
记者查阅补天平台数据显示,太平洋保险河南省某系统存在漏洞,可导致500万保单信息,数百万投保人等信息泄露;中国平安五套保险系统存在漏洞,可导致泄露大量投保人信息、保单信息,甚至黑客可通过漏洞对保单进行撤保操作;华泰保险出现某漏洞,可导致全部员工信息、20万燃气充值卡等敏感信息泄漏;泰山保险某系统的漏洞、中华保险某漏洞均可能造成数百万客户、详细保单信息泄漏。
“有的公司竟然一个月被发现6次漏洞,信息安全形势不容乐观。从目前白帽子提交的证据看,漏洞可能导致上千万客户信息面临泄漏风险。”补天平台负责人对《经济参考报》记者说,大型保险公司的安全响应机制相对完善,漏洞提交后会进行一些积极修复,但不少中小保险公司在发现后却迟迟未修复,基本上放任风险发酵。
险企须对公众信息保护担责
“出现漏洞的原因基本上可归结为三类:一个是篱笆墙原本扎得不够牢;一个是懒得去扎篱笆;三是篱笆墙漏了好长时间都不知道。”360安全专家介绍称,互联网金融兴起后,一些网络管理人员水平没有跟上,更多的是由于安全意识不够。从信诚人寿保险内部人员的账号密码面临泄漏来看,他们十多个人员初始密码没有修改,也就是存在弱口令情况,这属于“懒得扎篱笆”,如果修改初始密码,黑客恐难以突破。
报告显示,2014年,互联网保险业务规模继续大幅增长,当年保费收入858.9亿元,同比增长195%。与此同时,互联网渠道业务占总保费收入的比例达到4.2%,成为拉动保费增长的重要因素之一。伴随互联网业务的不断扩大,信息安全也成为众多险企头上的一道“紧箍咒”。此前,河北保监局就曾在下发给各保险公司、保险中介机构的文件中对信息安全进行过风险提示。
国家信息技术安全研究中心专家曹岳在接受记者采访时表示,由于平台本身交易量巨大、往来客户数量多,对试图非法获取客户敏感信息的不法分子来说,一旦成功,其获益是巨大的。由此,像保险企业这样涉及大量客户个人信息和商业机构信息存储的企业,须对公众信息保护承担义务,更应加强信息安全构建,防止公众的合法权益受到侵害。
中消协相关负责人表示,消费者应增强个人隐私的保护意识,包括及时更换密码,不要亲信一些电话、短信关于保险方面的诈骗。若保单信息遭到严重泄露,且造成后果,消费者可直接起诉相关保险公司,以维护自身合法权益。
信诚人寿保险“中招”
数十个服务器面临被“攻陷”
记者在补天漏洞相应平台上发现了白帽子(网络安全术语,指可以识别计算机系统或网络系统中安全漏洞的人,但这类人不会恶意利用漏洞,而是发布漏洞信息,帮助当事方及时修复漏洞)提交的编号为“QTVA-2015-262526”信诚人寿保险漏洞信息,提交信息的白帽子被奖励1000元,这几乎是近期单笔最大的奖励,原因是“漏洞太多,信息泄漏风险很大”。按照白帽子提交的监测报告显示,信诚人寿保险公司面临泄漏数以万计的客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。
值得注意的是,除客户信息存在严重泄露风险外,涉及公司内部的私密信息也“中招”。根据提交的漏洞信息显示,信诚人寿保险公司与其他一些大型保险公司数以亿计的发生金额、开户公司、开户行地址一目了然,内部业务人员的账号密码也遭破解,包括了从直销市场总监、运营主管到直销柜员等多个层级的账号密码。更为严重的是,该保险公司竟然存在管理员账号通用情况,数十个服务器几乎成为不设防的“裸机”。
而这仅是冰山一角。记者查询补天漏洞响应平台发现,从6月份起,超过20多家从事保险业务的公司被白帽子曝出40多个漏洞,既有太平洋保险公司、中华保险公司、新华保险、吉祥人寿等大型保险公司,同时也有一些中小保险公司。
信息安全形势不容乐观
中小保险公司修复不及时
家住河北石家庄的王先生告诉记者,前段时间他接到电话,来电显示为某保险公司客户服务电话。接通后,对方自称是保险公司的业务人员,说出了王先生的姓名和车辆信息,并告知王先生因车子剐蹭受损,现已通过理赔审核,需支付赔付金,但要说出银行账户进行核对,以便准确打款。
因有些疑虑,王先生并未按照要求告知其银行账号,而是向保险公司进行了电话查询,结果发现果然是骗子。令王先生奇怪的是,自己的车子确实剐蹭并在几天前向保险公司报案并进入理赔程序。“他不仅知道我的车辆型号、车牌号、姓名、电话、证件号等个人信息,甚至连事故发生的时间、地点等详细信息都知道,我想知道这些理应非常隐私的信息怎么会泄露出去呢?”王先生愤慨地说。
“保险公司数据库中,涉及到投保人的包括姓名、工作、个人收入、亲属关系、家庭收入、健康等大量敏感信息,这些信息被数据贩子以每条1至5元钱的价格倒卖,因此也成为一些不法分子网络攻击的重点。”一位业内专家对《经济参考报》记者说。
记者查阅补天平台数据显示,太平洋保险河南省某系统存在漏洞,可导致500万保单信息,数百万投保人等信息泄露;中国平安五套保险系统存在漏洞,可导致泄露大量投保人信息、保单信息,甚至黑客可通过漏洞对保单进行撤保操作;华泰保险出现某漏洞,可导致全部员工信息、20万燃气充值卡等敏感信息泄漏;泰山保险某系统的漏洞、中华保险某漏洞均可能造成数百万客户、详细保单信息泄漏。
“有的公司竟然一个月被发现6次漏洞,信息安全形势不容乐观。从目前白帽子提交的证据看,漏洞可能导致上千万客户信息面临泄漏风险。”补天平台负责人对《经济参考报》记者说,大型保险公司的安全响应机制相对完善,漏洞提交后会进行一些积极修复,但不少中小保险公司在发现后却迟迟未修复,基本上放任风险发酵。
险企须对公众信息保护担责
“出现漏洞的原因基本上可归结为三类:一个是篱笆墙原本扎得不够牢;一个是懒得去扎篱笆;三是篱笆墙漏了好长时间都不知道。”360安全专家介绍称,互联网金融兴起后,一些网络管理人员水平没有跟上,更多的是由于安全意识不够。从信诚人寿保险内部人员的账号密码面临泄漏来看,他们十多个人员初始密码没有修改,也就是存在弱口令情况,这属于“懒得扎篱笆”,如果修改初始密码,黑客恐难以突破。
报告显示,2014年,互联网保险业务规模继续大幅增长,当年保费收入858.9亿元,同比增长195%。与此同时,互联网渠道业务占总保费收入的比例达到4.2%,成为拉动保费增长的重要因素之一。伴随互联网业务的不断扩大,信息安全也成为众多险企头上的一道“紧箍咒”。此前,河北保监局就曾在下发给各保险公司、保险中介机构的文件中对信息安全进行过风险提示。
国家信息技术安全研究中心专家曹岳在接受记者采访时表示,由于平台本身交易量巨大、往来客户数量多,对试图非法获取客户敏感信息的不法分子来说,一旦成功,其获益是巨大的。由此,像保险企业这样涉及大量客户个人信息和商业机构信息存储的企业,须对公众信息保护承担义务,更应加强信息安全构建,防止公众的合法权益受到侵害。
中消协相关负责人表示,消费者应增强个人隐私的保护意识,包括及时更换密码,不要亲信一些电话、短信关于保险方面的诈骗。若保单信息遭到严重泄露,且造成后果,消费者可直接起诉相关保险公司,以维护自身合法权益。
返回网站首页>>- 中诚信托子公司:首获1.45亿美元换汇额度
- 新光集团:百亿借壳四川金路 注入资产债务偿付压
- 中国高科因涉嫌信披违法违规 被证监会立案调查
- 花旗银行:因滥收费被要求赔偿消费者7亿美元
- 农业银行:大宗交易逾2亿股 成交价冰火两重天
- 工行:世界500强最赚钱公司 利润达447.6
- 国美:黄光裕或将把非上市门店注入上市公司
- 海通证券:推出员工持股计划 最低认购门槛10万
- 花旗:因欺骗式营销手段将向消费者偿还7亿美元
免责声明:
1、本网转载文章目的在于传递更多信息,我们不对其准确性、完整性、及时性、有效性和适用性等作任何的陈述和保证。本文仅代表作者本人观点,并不代表本网赞同其观点和对其真实性负责。
2、中国产业信息研究网一贯高度重视知识产权保护并遵守中国各项知识产权法律。如涉及作品内容、版权和其它问题,请马上与本网联系更正或删除,可在线反馈、可电邮(link@china1baogao.com)、可电话(0755-28749841)。
