中国人寿再曝存高危漏洞 百万客户信息或已泄露
- 发布时间:2015-07-16 09:16:00 来源:中国经济网 责任编辑:金潇
近日,《投资快报》记者在补天漏洞响应平台上观察发现,有专业级别的网友披露 中国人寿(601628)广东分公司系统存在高危漏洞,百万客户信息存在随时大面积泄露的可能性。
据了解,补天漏洞响应平台是目前全球最大的漏洞响应平台,漏洞数据同步公安部、网信办和国家漏洞库。据该平台爆料网友提供的中国人寿系统漏洞截图来看,漏洞涉及的信息包括客户的保单信息、微信支付信息、客户姓名、电话、身份证、住址、收入、职业等敏感信息。按照补天漏洞响应平台的处理过程,这一高危漏洞被补天漏洞响应平台定为高危事件型漏洞。中国人寿虽然对该高危漏洞存在情况进行了确认,但是否进行了补救却还没有答案。
严重漏洞!
国寿广东十万份保单裸露“一丝不挂”
近日,《投资快报》记者登陆补天漏洞响应平台看到,5月21日,网友“carry_your”发布了一则等级为“高级”的漏洞信息,编号:QTVA-2015-237080,漏洞名称为“中国人寿某省系统存在漏洞#可getshell#泄漏百万客户信息”。从网友“carry_your”与其他网友的交流中可以看到,发布这条漏洞信息是为了引起中国人寿的重视,加紧对漏洞的修复,避免发生危害。在发布漏洞信息五天之后,于5月26日下午3:37分,“厂商”中国人寿对漏洞信息进行了确认,并对发现漏洞的网友表示感谢:“已确认漏洞,非常感谢!”
在得到中国人寿的确认后,补天漏洞响应平台对发布漏洞信息网友“carry_your”进行了支付奖励。值得注意的是,根据平台处理过程显示条的显示,对于这一漏洞,截至目前中国人寿尚未修复(详情见以下截图)。
“快修复吧,危害挺大的”,在平台的留言评论区,这位技术型信息达人、发布漏洞消息的网友carry_your特意@中国人寿财产保险股份有限公司,希望中国人寿能尽快修复漏洞,并在与网友@system_gov互动留言中表示:“咱又不动他们的数据,就是证明下危害,让厂商重视罢了”,明确表示不会因为出现漏洞而动用这些数据,发布目的是为了提醒与警示。
从截图透露的保单信息来看,保单信息、微信支付信息、客户姓名、电话、身份证、住址、收入多少、职业等敏感信息一览无余,并且超过9成以上的客户属地均显示“广东”,具体涵盖了广州、东莞、珠海、湛江、韶关、惠州、阳江、汕头、江门等,几乎广东省所有地区县市,不难判断客户信息系统存在严重漏洞的应该是国寿的广东省分公司。
5月28日上午,经济参考报的官方微博也披露,“前不久,一名18岁的‘黑客’,竟然通过自学编程,带领一批人在网上大肆盗刷别人的银行卡,涉案金额近15亿元。近期中国人寿某省系统出现漏洞更加触目惊心,可导致近十万保单遭泄露,涉及百万客户信息包括姓名、身份证、电话、住址、收入等。”
中国人寿屡被曝出客户信息泄露问题
据报道,早在2013年初,有网友在凯迪社区发帖称,在中国人寿注册汽车救援卡时发现在搜索信息栏里可以任意搜索出投保人的信息,包括险种、手机号、身份证号和密码等敏感信息。在该帖子的评论中有网友透露,中国人寿投保人的信息还在一个名叫“众宜风险管理”的网站中均能随便查出,泄露信息高达80万页,共有约80万条信息。换言之,这批巨大的信息数据有可能随时会被其他人有意截获或被倒卖,因此也必然会对这些客户的生活或者财产带来难以估量的影响。
据当时中国之声《央广新闻》报道,“众宜风险管理”的客服人员表示信息公开是为了方便客户查询,称与中国人寿是合作关系,共用一个数据库,但中国人寿称并未与“众宜风险管理”合作。除了中国人寿,这家网站还出售人保寿险、平安保险等多家保险公司的保险产品,三家保险公司的客户个人信息均有泄露的可能性,有记者曾以客户身份向该网站客户人员咨询,客服人员告诉记者只要把钱打过来,就可以把卡号和密码发过来进行投保。后来中国人寿发表声明称,“泄密”网站为中国人寿四川省分公司的合作方,即成都众宜康健科技有限公司所属的“众宜风险管理网”。因该网站升级操作失误导致信息泄露,并承诺今后公司将进一步加强客户信息管理,切实做好客户信息保密工作。
不过,在微博中,网友们纷纷发表了自己的看法,对国寿的回应并不买账。陈之锦言:“悲催呀,保险的不负责保密!我说我的手机怎么总是接到其他保险公司的推销产品的短信、彩信、电话呐?”
赵占领:“即使是合作网站失误所致,中国人寿仍有不可推卸的责任。自己收集的个人信息为什么提供给第三方?是否经过用户同意?”
十点钟方向是我:“一句操作失误或者说一句抱歉就能解决我们百姓隐私权受侵害吗?”
松树塔儿:“失误所致,然后呢?”
梨涡浅笑-兰雅:“中国的保险公司就像是扶不起的阿斗,整天出问题,本应是最安全最可放心购买的东西,现在让 老百姓(603883)像防贼一样防着!”
信息泄露情况普遍 涉及各行各业
信息泄露的发生已不是个案,不仅涉及保险业,一些掌握着大量客户个人信息的运营商同样成为了信息泄露的重灾区。记者在百度搜索引擎上输入“客户信息泄露案例”,找到相关结果上百万条,涉及各行各业。截至2015-7-13,仅在补天漏洞响应平台上已发现漏洞52493个,涉及厂商数量多达2187家,足以可见商业信息泄露情况十分严重。
据报道,作为国内在线旅游市场份额最大的服务商携程网系统存在漏洞,可导致用户个人信息、银行卡信息等泄露。漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡cvv(信用卡背面的三位数安全码)码等。
2014年5月14日,据媒体披露,800万小米用户数据泄露,泄露数据带有大量用户资料,可被用来访问小米云服务并获取更多的私密信息。甚至可通过同步获得通讯录、短信、照片、定位、锁定手机及删除信息等。
2014年12月4月 ,智联招聘系统存在漏洞,86万用户的简历信息有泄露的危险,黑客可通过漏洞获取包括用户姓名、地址、身份证号、户口等在内的私密信息。
有关信息专家表示,商业信息的泄露危害极大,不仅会对客户的生活带来干扰,还会对客户的财产安全带来威胁。每年产值上百亿的电信诈骗,恰恰是依托这些被泄露的个人信息才能施展。
专家:受损客户可起诉中国人寿
国内外客户信息泄露事件频繁发生,风险管理方面的专家称,电子商务平台在信息安全方面出现问题,一方面是平台自身安全性重视程度与其业务发展规模不匹配;另一方面,由于平台本身交易量巨大、往来用户数量多,对试图非法获取用户敏感信息的不法分子来说,一旦成功,其获益是巨大的诱惑,互联网的不可追溯性也降低了不法分子的犯罪成本。有信息安全专家建议,诸如保险、电信及银行等信息容易遭到泄露的行业应该加强对内部的管理,只有这样,才能从根本上杜绝出现客户信息泄露这样的大事件的发生。
国家信息技术安全研究中心专家曹岳日前也表示,仅从不断披露的信息安全泄露事件来看,黑色产业集团化、趋利化、跨境化的趋势明显。随着我们进入一个万物互联的“互联网+”时代,网络越来越多地承载个人和商业机构的信息,商业信息泄露情况将会更加严重,而这其中个人和企业将成为信息泄露的最大受害者,如隐私和商业秘密泄露等。此外规模化的信息泄露的危害难以估计,使得整个产业安全处于“裸奔”的状态。
“我们整体的安全意识、法律体系、技术防护手段等都需要提高完善。”曹岳说,国家应该建立信息安全评级制度,通过评级来真正落实信息安全问责机制,将责任落实到人,弥补我们在信息安全方面的责任缺位问题。
值得一提的是,保单信息严重泄露,专家称这些客户可直接起诉中国人寿。我国首部个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》已于2013年2月1日正式实施,按照标准要求,客户可以直接起诉中国人寿。
首都经济贸易大学教授、首经贸农村保险研究所所长庹国柱此前在国寿上一次客户信息泄露时,接受媒体采访公开指出:“客户发现自己的信息暴露在网络上应该立即联系保险公司,如果造成了后果,可以追究相应的法律责任。”