险企齐陷“黑洞门” 千万客户信息恐遭泄漏

《经济参考报》记者日前在采访中了解到，近两个月时间内，包括太平洋保险公司、中华保险公司、新华保险、吉祥人寿等在内的保险公司频被曝出漏洞，千万客户的信息面临泄漏风险。

信诚人寿保险“中招”

数十个服务器面临被“攻陷”

记者在补天漏洞相应平台上发现了白帽子(网络安全术语，指可以识别计算机系统或网络系统中安全漏洞的人，但这类人不会恶意利用漏洞，而是发布漏洞信息，帮助当事方及时修复漏洞)提交的编号为“QTVA-2015-262526”信诚人寿保险漏洞信息，提交信息的白帽子被奖励1000元，这几乎是近期单笔最大的奖励，原因是“漏洞太多，信息泄漏风险很大”。按照白帽子提交的监测报告显示，信诚人寿保险公司面临泄漏数以万计的客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。

值得注意的是，除客户信息存在严重泄露风险外，涉及公司内部的私密信息也“中招”。根据提交的漏洞信息显示，信诚人寿保险公司与其他一些大型保险公司数以亿计的发生金额、开户公司、开户行地址一目了然，内部业务人员的账号密码也遭破解，包括了从直销市场总监、运营主管到直销柜员等多个层级的账号密码。更为严重的是，该保险公司竟然存在管理员账号通用情况，数十个服务器几乎成为不设防的“裸机”。

而这仅是冰山一角。记者查询补天漏洞响应平台发现，从6月份起，超过20多家从事保险业务的公司被白帽子曝出40多个漏洞，既有太平洋保险公司、中华保险公司、新华保险、吉祥人寿等大型保险公司，同时也有一些中小保险公司。

信息安全形势不容乐观

中小保险公司修复不及时

家住河北石家庄的王先生告诉记者，前段时间他接到电话，来电显示为某保险公司客户服务电话。接通后，对方自称是保险公司的业务人员，说出了王先生的姓名和车辆信息，并告知王先生因车子剐蹭受损，现已通过理赔审核，需支付赔付金，但要说出银行账户进行核对，以便准确打款。

因有些疑虑，王先生并未按照要求告知其银行账号，而是向保险公司进行了电话查询，结果发现果然是骗子。令王先生奇怪的是，自己的车子确实剐蹭并在几天前向保险公司报案并进入理赔程序。“他不仅知道我的车辆型号、车牌号、姓名、电话、证件号等个人信息，甚至连事故发生的时间、地点等详细信息都知道，我想知道这些理应非常隐私的信息怎么会泄露出去呢？”王先生愤慨地说。

“保险公司数据库中，涉及到投保人的包括姓名、工作、个人收入、亲属关系、家庭收入、健康等大量敏感信息，这些信息被数据贩子以每条1至5元钱的价格倒卖，因此也成为一些不法分子网络攻击的重点。”一位业内专家对《经济参考报》记者说。

记者查阅补天平台数据显示，太平洋保险河南省某系统存在漏洞，可导致500万保单信息，数百万投保人等信息泄露；中国平安五套保险系统存在漏洞，可导致泄露大量投保人信息、保单信息，甚至黑客可通过漏洞对保单进行撤保操作；华泰保险出现某漏洞，可导致全部员工信息、20万燃气充值卡等敏感信息泄漏；泰山保险某系统的漏洞、中华保险某漏洞均可能造成数百万客户、详细保单信息泄漏。

“有的公司竟然一个月被发现6次漏洞，信息安全形势不容乐观。从目前白帽子提交的证据看，漏洞可能导致上千万客户信息面临泄漏风险。”补天平台负责人对《经济参考报》记者说，大型保险公司的安全响应机制相对完善，漏洞提交后会进行一些积极修复，但不少中小保险公司在发现后却迟迟未修复，基本上放任风险发酵。