险企齐陷“黑洞门” 千万客户信息恐遭泄漏

本篇文章1977字，读完约5分钟

《经济参考报》记者近日在采访中了解到，近两个月来，太平洋保险公司、中国保险公司、新华保险公司、吉祥人寿保险公司等保险公司。经常暴露漏洞，数百万客户的信息面临泄露的风险。

新城人寿保险被“邀请”

数十台服务器面临“崩溃”

记者发现了一顶白帽子(网络安全术语，指能够识别计算机系统或网络系统安全漏洞的人，但这种人不会恶意利用漏洞，而是发布漏洞信息，帮助当事人及时修复。漏洞)提交人:新城人寿保险漏洞信息编号提交信息的白帽“qtva-2015-262526”获得1000元奖励，这几乎是近期最大的奖励，因为根据白帽提交的监控报告，新城人寿保险公司面临着泄露客户银行卡号码、密码、银行地址、身份证等数万条敏感信息的风险。

值得注意的是，除了客户信息严重泄露的风险之外，与公司相关的私人信息也被“套牢”。根据提交的漏洞信息，新城人寿保险公司等大型保险公司一眼就能看到发生的上亿金额，开户公司和开户银行地址，以及内部业务人员的账户密码也被破解，包括从直销总监、操作主管到直接柜员等多个层面的账户密码。更严重的是，保险公司有一个共同的管理员帐户，几十台服务器几乎成了不受保护的“裸机”。

这只是冰山一角。据记者查询天空漏洞应对平台，自6月份以来，已有20多家保险公司暴露出40多个漏洞，包括太平洋保险公司、中国保险公司、新华保险、吉祥人寿等大型保险公司，以及一些中小保险公司。

信息安全形势不容乐观

中小型保险公司没有及时修复

住在河北石家庄的王先生告诉记者，他不久前接到一个电话，来电显示是一家保险公司的客服电话。连接后，对方声称是保险公司的业务人员，并提供了王先生的姓名和车辆信息，并告诉王先生，由于汽车造成的损坏，他已通过索赔审查，他必须支付赔偿，但他必须提供银行账户进行核对，以便准确付款。

由于一些疑点，王先生没有按要求告知其银行账号，而是通过电话询问了保险公司，发现他是一个骗子。令王先生惊讶的是，他的车确实刮伤了，几天前向保险公司报案，并进入理赔程序。“他不仅知道我的车型、车牌号码、姓名、电话号码、身份证号码等个人信息，甚至还知道事故发生的时间和地点等详细信息。我想知道这些本应保密的信息怎么会泄露出去呢？”王先生气愤地说。

“在保险公司的数据库中，有很多关于被保险人的敏感信息，包括姓名、工作、个人收入、亲属关系、家庭收入、健康状况等。这些信息被数据贩子以1到5元的价格转卖，所以他们也成了一些罪犯。网络攻击的焦点。”一位行业专家告诉《经济信息日报》。

记者对田甜平台数据的检查显示，太平洋保险河南省的一个系统存在漏洞，可能导致500万保单信息和数百万保单持有人的信息泄露；平安五大保险系统存在漏洞，可能导致大量投保人信息和保单信息被泄露，甚至黑客可以通过漏洞提取保单；华泰保险存在漏洞，可能导致所有员工信息、20万张加油卡等敏感信息泄露；泰山保险某个系统的漏洞和中国保险的漏洞可能导致数百万客户和详细的保单信息泄露。

“一些公司每月被发现六次存在漏洞，信息安全形势不容乐观。从目前白帽子提交的证据来看，该漏洞可能导致数千万客户信息泄露的风险。”卜田平台负责人告诉《经济信息日报》，大型保险公司的安全应对机制比较完善，漏洞提交后会进行一些积极的修补，但很多中小保险公司发现漏洞后修补缓慢，基本上让风险发酵。

保险公司必须负责保护公共信息

“漏洞的原因基本上可以归结为三个方面:一是围墙原本不够牢；一个人懒得栅栏；第三，围墙已经失踪很久了，我不知道。”360安全专家表示，互联网金融兴起后，一些网络管理者的水平跟不上，更多的是因为缺乏安全意识。从新城人寿内部人员的账户密码泄露情况来看，有10多个账户的初始密码没有被修改，即存在一个“懒得栅栏”的弱密码。如果初始密码被修改，黑客可能会发现很难突破。

报告显示，2014年网络保险业务规模继续大幅增长，保费收入858.9亿元，同比增长195%。同时，互联网渠道业务占保费总收入的4.2%，成为推动保费增长的重要因素之一。随着互联网业务的不断扩张，信息安全已经成为许多保险公司的“紧箍咒”。此前，河北省保监局曾在发给各保险公司和保险中介机构的文件中发出信息安全风险预警。

国家信息技术安全研究中心的专家曹越在接受《经济信息日报》采访时表示，由于平台本身的交易量巨大，来往的客户数量巨大，试图从客户那里非法获取敏感信息的犯罪分子一旦得逞将受益匪浅。因此，像保险公司这样涉及大量客户个人信息和商业组织信息存储的企业，应承担起保护公共信息的义务，并应加强信息安全建设，防止公众合法权益受到侵害。

中国消费者协会相关负责人表示，消费者应提高保护个人隐私的意识，包括及时更换密码，不要在一些电话和短信中透露有关保险欺诈的信息。如果保单信息被严重泄露并造成后果，消费者可以直接起诉相关保险公司以维护自己的合法权益。